¶ Distributed Denial of Service mit Stefan Behte
[SPEAKER_02]: Willkommen zu einer neuen Episode vom Engineering Kios Podcast. [SPEAKER_02]: Heute mal wieder mit einem technischen Thema. [SPEAKER_02]: Wusstest du, dass Cloudflare allein im Quartal einst, zweithausend, zwanzig, zwanzig, kommen auf fünf Millionen Angriffe abgewert hat? [SPEAKER_02]: Das sind sechs und ninety Prozent des gesamten Blockierungsvolumens von zweithausend vier und zwanzig in nur drei Monaten. [SPEAKER_02]: Bei anderen Anbietern sehen die Zahlen ähnlich aus.
[SPEAKER_02]: Bei den meisten dieser Angriffe handelt es sich dabei um Attacken mit dem Ziel einen Service-Larm zu legen. [SPEAKER_02]: So was nennt man Distributed die Nile auf Service Attacken. [SPEAKER_02]: Kurz Diedos. [SPEAKER_02]: Das ist das Thema dieser Episode. [SPEAKER_02]: Wir sprechen mit Stefan bete zu diesem Thema. [SPEAKER_02]: Stefan kümmert sich unter anderem um die Absicherung von Webseiten, wie die vom Deutschen Bundestag und hat ein Buch zu diesem Thema Diedos geschrieben.
[SPEAKER_02]: Im Gespräch geht es um die Motivation von diesen Angriffen, wie verschiedene Angriffen auf den unterschiedlichen Leyen des ISO-OS-Ere-Farienz-Budwells aussehen, also Network-Lea, Transport-Lea und Application-Lea. [SPEAKER_02]: Wie man sich versolchen Angriffen schützen kann und wie man damit auch zu Hause experimentieren kann. [SPEAKER_02]: Wir legen los viel Spaß.
[SPEAKER_02]: Ich würde mal sagen, in den letzten fünf zehn Jahren ab dem Jahr, zwei thousand zehn sind mehr und mehr Leute online gekommen. [SPEAKER_02]: Ich würde sagen, nur ein Großteil der Weltbevölkerung ist gerade online. [SPEAKER_02]: Das ist echt super, weil jeder hat irgendwie Zugang zum Internet, zu allen möglichen Informationen und jeder kann auch lernen. [SPEAKER_02]: Das große Problem ist, wenn jeder Zugriff zum Internet hat, dann haben auch böse Wichte zum Internet.
[SPEAKER_02]: Und über eine Art von, wie kann ich im Internet böse sein? [SPEAKER_02]: Hab ich im August, zwei thousand, drei und zwanzig. [SPEAKER_02]: Mal was gehört im Zwar? [SPEAKER_02]: Hab ich damals einen Mietabindeslauf organisiert und da der Stefan Bete, einen Talk über Distributed, die Nail auf Service Attacken. [SPEAKER_02]: Gehalten. [SPEAKER_02]: Es ist sehr interessant, war ein Neuland für mich, hatte ich bisher nichts mitzutun.
[SPEAKER_02]: Am sixteen Juni habe ich dann diesen Jahres, habe ich dann eine Eme von ihm erhalten. [SPEAKER_02]: Hey Andy, ich habe hier so ein Buch released. [SPEAKER_02]: Weiße noch, vor circa zwei Jahren habe ich mein Torker halten. [SPEAKER_02]: Und jetzt habe ich gedacht, ich schreibt dann mal ein Buch zu diesem Thema, zum Thema Distributedinel auf Service Attacking.
[SPEAKER_02]: Drei Tage nach dieser email hat dann mein aktueller Arbeitgeber ein Blockbeitrag verfasst über die wohl größte gemessenen Distributedineel auf Service Attacken mit siebenkommertreiterer mit Pro Sekunde die über filmen Fiziti Kunden lief und all das kombiniert habe ich dann gedacht das das müssen wir mal besprechen [SPEAKER_02]: Deswegen habe ich mir gedacht, antwort ich auf die Mail vom Stefan, er hat zum Glück auch geantwortet und deswegen begrüß ich mal Stefan.
[SPEAKER_02]: Guten Tag in Podcast. [SPEAKER_02]: Hallo im Interviewkurs. [SPEAKER_02]: Hi, guten Tag. [SPEAKER_02]: Für die Leute, die die ich damals immer guss 둘 und eins, wann sich nicht auf die Miet abgesehen haben, möchte ich mal ganz kurz eine Intro für dich machen. [SPEAKER_02]: Du bist weiß Präsident. [SPEAKER_02]: Plattformen, Application und Informationen sicherheitsbeauftragter bei Barbel.
[SPEAKER_02]: Da bist du eigentlich verantwortlich für die Datencenterinterstruktur, für das Netzwerk, für Distribut, die Nähl auf Service Mitigation, für das Hosting und so weiter und so vor. [SPEAKER_02]: Im ganzen Bereich habe ich schon seit ca. [SPEAKER_02]: Und du hast größere Kunden wie zum Beispiel den Bundestag oder Henkel. [SPEAKER_02]: Du springst ab und zum mal auf den Bühnen dieser Welt rum, nicht nur bei uns auf den Mieter, sondern auch auf Chaos Computer-Club, Kongress Events.
[SPEAKER_02]: Wenn du nichts mit Distributed in der Lauf-Service-Attack zu tun hast, gehst du in der Regel Bulltern und Wandern. [SPEAKER_02]: Du bist sogar Teil des Chaos Computer-Clubs. [SPEAKER_02]: Und ab und zu wirkst du beim C-Drei-Nock mit. [SPEAKER_02]: Das ist natürlich das Network-Operation Center. [SPEAKER_02]: Genau. [SPEAKER_02]: Du hast sogar eine ganze Blockreihe zum Thema Testing Didos Tools von Github veröffentlicht.
[SPEAKER_02]: Das fand ich ganz interessant, wo du dir einfach mal ein Repository Schnaps testest, die mal durch. [SPEAKER_02]: Du hast, wie ich gerade schon im Intro sagte, ein Buch über distribuiertet, die nicht auf Service Attacken geschrieben, den Link findet ihr natürlich unter in den Shown uns. [SPEAKER_02]: Und jetzt kommt die erste Frage an dich, wie auf Festung mit dem Skateboard bzw. [SPEAKER_02]: mit dem Longboard noch zu arbeiten.
[SPEAKER_01]: Derzeit eher seltener, weil ich einfach ziemlich viel Homeoffes mache, muss ich gestehen. [SPEAKER_01]: Aber meistens bin ich dann doch einmal die Woche da und fahre über die schöne Trasse in Wuppertal zum Zug. [SPEAKER_01]: Und hier in Wuppertal ein Düsseldorf, dann auch über ein Fahrradweg in die Firma.
¶ Was ist eine Denial-of-Service-Attacke?
[SPEAKER_02]: Ich fand ich sehr sehr angenehm, dass ich diese mit dem Gitarpofil gefunden habe. [SPEAKER_02]: Normalerweise sieht man ja immer auf der Person der Website, aber auf dem Gitarpofil. [SPEAKER_02]: Das ist mal direkt ins Thema Staben. [SPEAKER_02]: Die DOS Distributedineel auf Service, was wird bingo, was ich mir von Wikipedia geklaut habe. [SPEAKER_02]: Gibt mir mal bitte eine Einleitung, was ist eine Dineel auf Serviceattacke?
[SPEAKER_01]: Normale Dineil auf Serviceattacke, wenn jetzt vielleicht einen Angriff, den ich auf einen Webser war, ausführen würde, der dazu führt, dass der Webser war, ausfällt. [SPEAKER_01]: Es gibt manchmal Backs. [SPEAKER_01]: In einem Server zum Beispiel, ich sikte dann Spring in der Zulank und das Ding crashed einfach. [SPEAKER_01]: Das wäre eine klassische Dynaman-Off-Serviceattack. [SPEAKER_02]: Und jetzt gibt es dieses Wort Distributed auf Deutsch verteilt.
[SPEAKER_02]: Was macht eine Dinehl auf Serviceattacket dann verteilt? [SPEAKER_01]: Verteilt, wer sie, wenn sie halt von vielen verschiedenen Systemen stammt, wenn man so einen Botnet denkt, also infizierte Computer, [SPEAKER_01]: die dann alle gleichzeitig ein zentrales oder ein System angreifen, was das Ziel ist, sagen wir mal ganz klassisch, ja, Hude-E wird angegriffen. [SPEAKER_01]: Und das passiert halt eben von vielen Standorten auf der Welt aus.
[SPEAKER_01]: Und nicht nur von einer IP-Adresse. [SPEAKER_02]: Ich würd lustig, dass du ja Hude-E erwähnt hast, ich habe gerade in der Newsmeldung gelernt, dass Auell seine Deil in Server endlich abgeschaltet hat. [SPEAKER_02]: Ja, Auell in Auell in Auell. [SPEAKER_02]: Sie dehes kennt die vielleicht noch alle. [SPEAKER_02]: Da könnt ihr jetzt euch leider nicht mehr einloggen, wie vor kurzem wurde ja auch ICQ abgeschaltet.
[SPEAKER_03]: Außen Gott der Punkt, weil du your who sagt, wen betrifft sowas? [SPEAKER_03]: Betrifft es wirklich nur die großen Seiten oder ist es jetzt auch relevant, wenn ich eigentlich ein kleines Service schreibe, also bin ich da betroffen als kleiner oder kann ich mit darauf verlassen, dass du sowieso irgendwie die großen für mich regeln, wenn ich da jetzt irgendwo ein Server stehen habe, dass das der Vorgung wie geschützt wird. [SPEAKER_01]: Das kann jetzt endlich jeden Betreffen.
[SPEAKER_01]: Es kommt darauf an, ob du für irgendjemanden interessant bist als Ziel. [SPEAKER_01]: Ja, wenn wir jetzt eine bestimmte politische Meinung hast oder eine bestimmte sexuelle Ausrichtung und dazu eine Webseite machst, auch wenn die nur ein Besucher hat am Tag, da kannst schon vorkommen, dass jemand die als Ziel auswählt und die dann einfach abschießt. [SPEAKER_03]: Aber üblicherweise sind es schon Leute, die ein Ziel verfolgen.
[SPEAKER_03]: Oder kann man also früher, weil es immer so man kann auch von Skrip Kids angegriffen werden, die einfach random probieren, irgendwelche Alpierdressen, ob es irgendwo löcher gibt oder so. [SPEAKER_03]: Kommt das in dem Bereich auch vor, das ist dann schon eher meistens irgendwie ein gezielter Angriff. [SPEAKER_01]: Das ist schon gezielter in der Regel.
[SPEAKER_01]: Es gibt allerdings auch so Sachen wie Ransam, Diedos, wo halt einfach bei Seiten ausprobiert wird, bei vierem Webseiten kann man die Relativ einfach zum Abspürzen bringen. [SPEAKER_01]: Wenn ja, dann schick ich mal eine E-Mail hinterher, wir haben mal gerade angegriffen, ihr seid ausgefahren, gibt mir meine Bitcoin, dann ist wieder ruhe im Karton.
[SPEAKER_01]: Also als Firma kann man da sehr leicht ziel werden, letztendlich als Privatperson, ist die wahrscheinlich kein schon geringer, aber eben auch nicht ausgeschlossen.
¶ Info/Werbung
[SPEAKER_03]: Jetzt bist du ja schon lange im Business dabei und an die hat schon eine wen, zwanzig Jahre. [SPEAKER_03]: Hat sich deine Meinung nach irgendwas verändert. [SPEAKER_03]: So in den letzten, zwanzig Jahren, in dem ganzen Bereich, haben sich die Antriffe verändert. [SPEAKER_03]: Oder ist es alles gleich geblieben? [SPEAKER_03]: Weil das Wort an sich kennt man ja schon seit dem Sati-Huzeiten. [SPEAKER_03]: Was wird Teilabservice auch äln?
[SPEAKER_03]: Also zu den Zeiten gab es das ja auch schon in gewissen Masse zumindest. [SPEAKER_01]: Erst hat sich schon was verändert. [SPEAKER_01]: Es gibt auch ein Gilos-Bereich Innovationen, die Bandbreiten, die verangere für genutzt werden, werden immer größer. [SPEAKER_01]: auch die Menge der Bot in dem Botnet wächst immer stärker einfach dadurch, dass es wie an die schon sagte, die halbe Welt ist im Internet sozusagen.
[SPEAKER_01]: Es gibt einfach viel mehr die weißes, heutzutage, die auch eine Appierdresse haben und sich im Internet befinden, IoT die weißes werden auch so gutes Beispiel dafür.
[SPEAKER_02]: Aber du hast jetzt auch gerade gesagt, okay, die Bandbreiten werden immer größer, aber ist das nicht irgendwie, ich sag mal so einen Wettrüsten, denn wenn ich mir Netzwerk in Verschruktur von vor zehn Jahren anser, oder vor vor fünf zehn Jahren, dann habest du da vielleicht nur hundert Embitnik und jetzt, weil ich nicht kriege.
¶ Was ist eine Denial-of-Service-Attacke?
[SPEAKER_02]: Ein Netzwerk in der Phase. [SPEAKER_02]: Und ich glaube, wenn du die heute in einigermaßen modernen laptop kaufst, dann ist ja ja mindestens ein G-Bit oder ein zehn G-Bit niktieren. [SPEAKER_02]: Und wenn du dir zu Hause ein kleines Witzchen stelltst, dann krieß ja auch ohne Probleme schon für eine paar Mark zehn G-Bit. [SPEAKER_02]: Also, und ich rede jetzt noch gar nicht von den einfachen Hyper-Scalern oder ähnliches. [SPEAKER_02]: Ja, von großen Netzwerken oder von Data Center.
[SPEAKER_02]: Da wird natürlich in Angreiferschönen irgendwie gezwungen, irgendwie mehr Power draufzusetzen, damit der Angriffe überhaupt irgendwie effektiv ist, oder? [SPEAKER_01]: Ich hat gesagt, dass es genau anders rum die Kosten sind, gesunken für einen Angreifer. [SPEAKER_01]: Denn heute zu Tage, wenn ich eine Leitung gehabt zu Hause, da kann ich ja schon Symmetrisch ein Giga-Bit kaufen für, ich sag mal, jetzt hundert Euro oder so was. [SPEAKER_01]: Und normaler Film-Serva.
[SPEAKER_01]: hat auch Gamma gerne einfach nur ein Gier mit Anschluss. [SPEAKER_01]: Dann schick ich einfach trafig hin und dann ist das schon tot. [SPEAKER_01]: Die Kosten für Bandbreite sind eigentlich immer weiter gesunken. [SPEAKER_01]: Früher viel das vielleicht auch sogar mehr auf, weil dann auch schneller Kosten entstanden sind. [SPEAKER_01]: Oder man hat besser auf seine Bandbreite geachtet tatsächlich, weil sie halt viel Geld gekostet hat.
[SPEAKER_02]: Du hast jetzt gerade gesagt oder so, ob ich das zumindest verschannen, eigentlich kann jeder jeden angreifen. [SPEAKER_02]: Du hast gerade gesagt, wenn jemand irgendwie, als ihr nicht, wenn ich sagt, der Wolfgang ist blöd. [SPEAKER_02]: Dann greif ich den jetzt mit einer Distribute, die Nähl auf Service attackern. [SPEAKER_02]: Und ja, das Organisation dann wahrscheinlich dann massiert sind. [SPEAKER_02]: Aber wie sehen denn so die klassischen Angreif für die Stereotypen?
[SPEAKER_01]: Also der absolute Stereotyp ist der Sächtzänierige Schüler, der kein Lust auf Unterricht hat. [SPEAKER_01]: Also es gibt sie doch noch die Skrip-Kdis. [SPEAKER_01]: Genau, es gibt sie doch noch. [SPEAKER_01]: Sie werden aber in einer Regel gar nicht selber aktiv, sondern mieten sich einfach für, es ist auch mal zwanzig Euro, sondern so genannten Butaservice, die marketen sich gerne als Last.
[SPEAKER_01]: Test-Service, aber letztendlich sind sie nicht anders als eine Diedausmaschine, die man anonymheit bezahlen kann, mit Bitcoin, teilweise sogar aber auch mit Kreditkarte, PayPal sonstigem. [SPEAKER_01]: Und Knipsen dann halt einfach zum Beispiel die Webseite der Schule aus oder die digitale Infrastruktur, damit das Internet nicht mehr verfügbar ist, damit zum Beispiel dann der Unterricht ausfällt. [SPEAKER_01]: Das ist so ein total typisches Ding, was gerne passiert.
[SPEAKER_01]: Oder auch beim Zocken, auch da wird das sehr gerne genutzt, um Konkurrenz auszuschalten einfach. [SPEAKER_01]: Okay, irgendjemand hat keine Lust auf Schule, aber ich mein, gibt es auch irgendwie was professioneller ist. [SPEAKER_01]: Ja genau, dass sieht man gerade in Ukraine Russland konflikt. [SPEAKER_01]: Da ist schon ziemlich deutlich geworden, dass eine starken professionellisierung auch in diesen sogenannten Cyber-Worferbereich, wenn man das so nennen möchte, existiert.
[SPEAKER_01]: Und das auch eigene Juniets, zum Beispiel beim bostischen GU, dafür verantwortliche sind, die das Attacken durchzuführen. [SPEAKER_01]: Also zum Beispiel diese Gruppierung Kildnet oder No-Name null, fünf sieben in Klammern sixteen. [SPEAKER_01]: Da geht man schon davon aus, dass ein starker Russland bezugt erherst oder dass das sogar tatsächlich Mitarbeiter des GU involviert sind.
[SPEAKER_01]: Da gibt es natürlich auch nur entsprechende Professionellisierung dann in diesem Bereich. [SPEAKER_01]: Es gibt aber auch andere staatliche Akteure schon vor zehn Jahren. [SPEAKER_01]: Hat der G-C-HQ gegen Anonymos eine Software eingesetzt die Hisrolling Thunder und hat selber die das Attacken benutzt. [SPEAKER_01]: um anonym auszuschalten oder deren Infrastruktur entteilen auszuschalten. [SPEAKER_02]: Das war jetzt der englische Geheimnis, oder?
[SPEAKER_02]: G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G-G [SPEAKER_01]: Ja, für zwanzig Euro kriegt man vielleicht so eine kleine Basisattacke. [SPEAKER_01]: Wenn es dann richtig ernsthaft geht, gegen größere Webseiten. [SPEAKER_01]: Ich sag mal ein Versandhaus oder so was.
[SPEAKER_01]: Die haben natürlich schon auch gewisse Schutzmaßnahmen umgesetzt. [SPEAKER_01]: Dann kann das auch schon teuer werden und in die tausenden Eures gehen, die man da ausgeben kann. [SPEAKER_02]: Ich finde das Ganze ist das dann, was du hast als Boota-Service bezeichnet. [SPEAKER_02]: Und in dem selben Satastulot Testing Tools genannt. [SPEAKER_02]: Jetzt komme ich aus einem Webgumpfeld oder Bichtziehungsweise auch auf.
[SPEAKER_02]: hochtrafikwebseiten, da werden die Services oft auch mal von den Engineering Teams selbst gelotestet, weil da vielleicht weil sie nicht Fernsehwerbung gestartet wird oder man hat irgendwie einen super Kupunko oder fifty Prozent Rabatt im Shop oder ähnliches. [SPEAKER_02]: Also der Klassiker, da wo ein Ansturm erwartet, weil jemand wieder was auf Instagram verteilt.
[SPEAKER_02]: Und jetzt stelle ich mir gerade die Frage, und jetzt gibt es ja auch wirklich klassische Load Testing Tools, Apache Jemeter, Grafana K-Sex und so weiter und so fort. [SPEAKER_02]: Kann ich mir nicht Jemeter nehmen und die Webseite unserer Podcast mag begleiter. [SPEAKER_01]: Das könnte es schon machen. [SPEAKER_01]: Ja, ich und und wir und meine Kollegen fragen, das ist auch manchmal, warum werden so schlechte Tools benutzt. [SPEAKER_01]: Eigentlich hat es dir erwähnt.
[SPEAKER_01]: Ich habe auf Github so ein paar Tools getestet. [SPEAKER_01]: Da fragen uns auch wirklich, warum wir den schlechter Pfeifenkort benutzt, warum hat der auf Github fünf hundred Sterne? [SPEAKER_01]: Also das ist mir manchmal auch ein bisschen Rätselaf. [SPEAKER_01]: Vielleicht hat das so was mystisches von man hat ein Geheimnis Hecker-Tool da gefunden. [SPEAKER_01]: Oder benutzt das so.
[SPEAKER_01]: Also ein Schlauerangreifall würde wahrscheinlich einfach ein gutes Low-Testing-Tool nehmen und so ein bisschen distributet Infrastructure selber aufbauen, in der Cloud zum Beispiel mit geklauten Kreditkarten und einfach ein Low-Testing-Tool benutzen. [SPEAKER_01]: Das wäre wahrscheinlich eine gute Strategie. [SPEAKER_02]: Und zu den Details, was es für verschiedene Angriffe gibt, kommen wir gleich noch.
[SPEAKER_02]: Aber ich frage mich jetzt, wo wir gerade bei den Public-Lotestings-Tools sind. [SPEAKER_02]: Machen die eigentlich irgendwas anders? [SPEAKER_01]: Im Grunde, fast nicht. [SPEAKER_01]: Also, wenn du uns gibt, Bar ist Toolhast, K, K, Sex, Glaube ich.io, es ist ein soem Tool. [SPEAKER_01]: Da kannst du auch beliebig requests fortune oder die so zusammenbauen, wie du sie haben möchtest, offensuchformular, dynamische Sachen reinfüttern.
[SPEAKER_01]: Im Grunde könntest du das halt auch benutzen. [SPEAKER_01]: Ich denke aber schon, dass so ein professioneller Anbieter, da irgendwo selber auch Radlemitz drauf hat, oder vielleicht mal kuckt, ist da fließt da sehr viel schaffig zu einer Gaffermanseite. [SPEAKER_01]: sind die Kreditkarten vielleicht auch geklauert, also dass da mehr Testing auch tatsächlich stattfindet oder mehr mehr Überprüfung stattfindet. [SPEAKER_01]: Du meinst jetzt bei einem sinnvollen Anbiet.
[SPEAKER_01]: Professionelle Anbieter sollte die Kunden dann so ein bisschen besser untersuchen. [SPEAKER_01]: Neuer Kastema. [SPEAKER_01]: Ganz simpel verständnis. [SPEAKER_03]: Frage nach für mich, warum heißt es Buddha? [SPEAKER_03]: Also ich kann nur Buddha loader und so weiter.
¶ Load Testing Tools als DDoS-Software und das ISO OSI Modell
[SPEAKER_03]: Aber warum Buddha? [SPEAKER_01]: Das ist ein interessanter Frage, mit der ich mich auch noch gar nicht beschäftigt. [SPEAKER_01]: Die Tab vielleicht, weil er dir den Boot gibt und der in den Hinterentritt. [SPEAKER_01]: Aber okay, will der ZIRI. [SPEAKER_03]: Ich habe es eigentlich auch gerade probiert, kurz zu googlingen, aber keine Antwort gefunden. [SPEAKER_03]: Aber das ist dann der Auftrag an unsere Community. [SPEAKER_03]: Und das zu klären.
[SPEAKER_03]: Oder der Andy fragte ich gerade GPD. [SPEAKER_03]: Da bin ich jetzt auch neugierig. [SPEAKER_02]: Also danke chattypty. [SPEAKER_02]: Kommt aus der Hacker sehen und hat mir die Menge schon Worte zu tun, also hochfahren, starren, aber auch jemanden rausschmeißen. [SPEAKER_02]: Okay und dann kann man ja sagen, okay, kurz gesagt, Butter ist der Dienst, der andere rausbutet, disconnecte rausschmeißen. [SPEAKER_03]: Also immer Stefan Stéorie mit dem in den Hintertreten eigentlich mehr.
[SPEAKER_03]: Aber ... [SPEAKER_03]: Kommen wir mal zu der ganzen Technik und gehen da ein bisschen tiefer rein. [SPEAKER_03]: Also wir haben im Vorfeld schon diskutiert, kann man jetzt voraussetzen, dass alle dieses Layer Modell des ISOs im Modell kennen und die verschiedenen Layer, ich bin selber schon daran gescheitert zwischen Layer seven und acht. [SPEAKER_03]: Müssen wir jetzt es wiederholen oder können wir das voraussetzen?
[SPEAKER_02]: Auch komm, du als alten Akademik haben wir in dem Duftartitel den Informatik. [SPEAKER_02]: Also, da wart ich jetzt schon, dass du mal ganz kurz ein Abriss über das OSI Schichtmode abgibt es hier. [SPEAKER_02]: Was ist das? [SPEAKER_02]: Wozu ist das gut? [SPEAKER_02]: Du musst mir jetzt nicht jeden Einzelnäher erklären. [SPEAKER_02]: Aber bring mal die Leute ganz kurz auf dem Stand. [SPEAKER_02]: Weil nicht jeder hat vielleicht eine klassische Informatik ausbildungsvideo.
[SPEAKER_02]: Jetzt haben wir da am Profisitzen. [SPEAKER_01]: Weil nicht, ich weiß nicht, wie lange das heisst, bei mir ich. [SPEAKER_01]: Ich versuch's mal. [SPEAKER_01]: Also, wenn es nicht für jedes Schicht jeden Namen, braß keine Vollläsung. [SPEAKER_01]: Genau, keine Vorlesung. [SPEAKER_01]: Das könnte sonst auf Wikipedia noch mal durchlesen, aber gerade bei dir das Attacken ist es schon wichtig, die Läier so zu kennen.
[SPEAKER_01]: Das passt auch nicht hundertprozentig immer, da gibt es auch graubereiche, aber ich versuch's mal. [SPEAKER_01]: Also Läier eins wäre sozusagen die Kabel, die existieren, so grundlegende Protokolle, die da gesprochen werden, frames, die ausgetauscht werden und so weiter. [SPEAKER_01]: Läier zwei werden dann Sachen, die da drauflaufen.
[SPEAKER_01]: Also zum Beispiel in einem Lokalen Netzwerk gibt es gibt es ab Pakete, die Fragen, wo es mein Gateway, was für Alpieldressen passen zu welcher Meck, also zu welcher Hardware Adresse. [SPEAKER_01]: Also alles, was schon mit Meckdressen zu tun hat, ist dann der Layer II oder? [SPEAKER_01]: Genau, das ist so diese beiden unteren Bereiche, das sind wir so ein Bereich Lokales Netzwerk.
[SPEAKER_01]: Wir wollen aber natürlich aus dem Lokalen Netzwerk raus ins Internet und dafür brauchen wir Layer III nämlich Alpiel. [SPEAKER_01]: Und IP hat einem Grunde nur die Informationen, wo kommt es her und wo soll es hin das Paket? [SPEAKER_01]: Da ist noch gar nicht von Ports die Rede und so weiter TCP und UDP, was man so kennt, sondern das passiert erst auf Lair IV sozusagen. [SPEAKER_01]: Da ist dann auch schon mehr Logik drin.
[SPEAKER_01]: Zum Beispiel, wenn Paket verloren geht, wird es auch nochmal wieder zusätzlich geschickt. [SPEAKER_01]: Und UDP ist halt, dass die Verbindungslose Variante, kann man später auch noch mal zu. [SPEAKER_03]: Bis hierhin hat es auch noch geschafft. [SPEAKER_03]: Und jetzt hat ich so gesagt, ja, das andere ist dann so, das kann man eigentlich vernachlässigen. [SPEAKER_03]: Das ist dann so oben in Richtung Anwendung.
[SPEAKER_01]: Das für den Netzwerk heißt, dass was jetzt kommen, weiter oben, nur noch nur noch Müll, sozusagen. [SPEAKER_01]: Das interessiert den nicht. [SPEAKER_01]: Genau. [SPEAKER_01]: Die schichten fünf und sechs ignoriert man gerne so bei dem die das Thema irgendwie ein bisschen. [SPEAKER_03]: Ja, sind die überhaupt so genau definiert? [SPEAKER_03]: Ja, ich habe die auch nie so im Kopf irgendwie. [SPEAKER_03]: Man fängt dann bei lehr sieben eigentlich an zu dich.
[SPEAKER_02]: Warum, was sind lehr fünf und sechs und warum werden nie ignoriert? [SPEAKER_01]: Es hat zum Beispiel so eine Session schicht. [SPEAKER_01]: Wenn du aber einen TCP-Eimodell, also es gibt ja ganz viele verschiedene Modelle um das darzustellen. [SPEAKER_01]: Wenn nur aber in TCP-IP oder Internetmodell bist, gibt es ja nicht so ein, eins zu eins Mapping der Schichten sozusagen. [SPEAKER_01]: Das passt nicht so richtig zusammen.
[SPEAKER_03]: Deshalb, das war Session und Präsentation, Brad Nachschatt für SpaceX. [SPEAKER_03]: Und irgendwie hat es dann niemand verwendet, kommt mir zumindest so vor. [SPEAKER_03]: Und dann hat man es einfach so auf die Seite gelegt. [SPEAKER_03]: Und den anderen Referenzmodellen ist es dann auch gar nicht so, eigentlich dargestellt worden.
[SPEAKER_02]: Ja, ich schiele jetzt gerade mal auf dem WGP, er täckelt den der Wolfgang auch zu dem ISO-OSi-Schichtmodell hat und ja, in der Tat, die Läher fünf, sechs und sieben werden einfach mal ratzfatz-protokoll technisch zusammengefasst. [SPEAKER_02]: XMPP läuft auf allen drei Läheren, HACTPS, FDP. [SPEAKER_02]: Okay, Leia, fünf und sechs fliegen einfach mal raus. [SPEAKER_02]: Für die fleißigen Leser haben wir jetzt eine Hausaufgabe, fragen wir dann in den nächsten Episode ab.
[SPEAKER_02]: Also machen wir bei Leia sieben weiter? [SPEAKER_01]: Genau, bei Leia sieben wir jetzt weiter. [SPEAKER_01]: Das ist dann die Applikationsschicht. [SPEAKER_01]: Das wird zum Beispiel so ein HTT-P-Requester stattfindet. [SPEAKER_01]: Ein typischer Get-Requests kennen die meisten wahrscheinlich. [SPEAKER_01]: Das wäre so ein Ding, was da passiert. [SPEAKER_01]: Dann haben wir aber auch noch Leia acht drüber, kein offizielles Leia natürlich.
[SPEAKER_01]: sondern dass wir dann so die Business logic, die dann tatsächlich in der Anwendung passiert. [SPEAKER_02]: Was ich besonders schön fand, du hast das Lehrmodell direkt in Kontext der distributete Denehl auf Serviceattang legtärt. [SPEAKER_02]: Und im gelernt, Lehr auf fünf und sechs, spielen mal für uns keine relevanz. [SPEAKER_02]: Fangen wir mal ganz vorne an.
[SPEAKER_02]: Spielen Lehr eins und Lehr zwei in der ganzen Thematik, irgendwann eine relevanz, weil ich mein Kabel klar, die sind da, damit Computer vernetzt sind, verstehe ich. [SPEAKER_01]: Genau auf der Ebene spielt das noch nicht so eine Rolle. [SPEAKER_01]: Wir müssen da erst mal sozusagen aus dem lokalen Netzwerk rauskommen. [SPEAKER_01]: Und erst dabei P, also Lär, Drei, geht's sozusagen los.
[SPEAKER_01]: Man kann sich natürlich gegenseitig Ärger nur da den Professor Ärgern, aber dann wäre das noch keine Disciute, Tina noch Service, Attacken in dem Sinne. [SPEAKER_03]: Das heißt, wenn ihr jetzt zum Beispiel im GEST Wi-Fi bin oder so irgendwas oder mir wirklich anstecken kann, irgendwo dann könnt ihr dann natürlich schon und umständen irgendwas machen.
[SPEAKER_01]: Genau, wenn sich jetzt fünf Kollegen zusammen tun und den einen Mobben wollen und dem ganz viel Schrafik schicken, dann kann ja auch nicht mehr arbeiten. [SPEAKER_01]: Und es ist sozusagen einer inhause Distribute, die nahen auf solches Attacke zum Opfer gefallen. [SPEAKER_02]: Aber das ist mal zum Fleischkommen. [SPEAKER_02]: Leia drei, wo dieses richtige Internet Netzwerk der irgendwie so langsam anfängt.
¶ Attacken auf Layer 1, Layer 2 und Layer 3
[SPEAKER_02]: Also außerhalb der Büro-Mauern sozusagen, wie kann ich den Wolfgang von Dysburg nach Innsbruck ins Larm legen? [SPEAKER_01]: Also die einfachste Variante ist im einfach ganz viel Traffic zu schicken, bis sein Server überlastet ist. [SPEAKER_01]: Jetzt haben wir mal der Wolfgangkatten Server mit einem Giga-Bit, mit einer Anbindung.
[SPEAKER_01]: Dann mietest du einfach mal kurz zwei Server bei AVS, die beideingiger bet haben und dann schiebst du die gesamte Zeit da einfach Treffik hin und dann ist der Server überfordert und es schafft es irgendwie nicht mehr die ganzen Anfragen zu beantworten. [SPEAKER_01]: Also kriegt einfach, hat halt einfach auf der Netzwerk eben schon so viel Treffik, dass einige Pakete verworfen werden müssen. [SPEAKER_02]: Also da geht es wirklich ganz brutal, um ich sag mal die Leitung dicht machen.
[SPEAKER_01]: Genau, die Leitung ist einfach voll, so wie zu viele Leute gehen, zu McDonald's, zu Carnival, ja, dann sind ja auch überflutet, fünf hundred Leute stehen in der Schlange keine Chance, noch einberger zu kriegen.
[SPEAKER_02]: Und wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie, wie
[SPEAKER_02]: Kann ich dann jetzt einfach eine Weilschleife bauen, mit Ping Wolfgang.insbruck.at und Gibin oder prinzipiell schon. [SPEAKER_01]: Ping hat auch den netten Bündig durch F-parameter für Flat. [SPEAKER_01]: Dann musst du noch sagen, schick bitte große Pakete. [SPEAKER_01]: Kannst du der Ausdruckung große oder kleine und dann jetzt schon los. [SPEAKER_01]: Wie kann man große Pakete schicken? [SPEAKER_03]: Das unterstützt ping an sich selbst schon.
[SPEAKER_01]: Genau, man kann dann eine Paketgrüße angeben, dann sollst du einfach, tausend, fundert, wenn die M.T.U. [SPEAKER_01]: so gesetzt ist, jetzt wird schon sehr technisch, aber das, was durch dein Leitung durchpasst, die maximale Paketgrüße wählt zu dann aus und dann geht der Flut auch schon los. [SPEAKER_02]: Wofür wird dieses Feature normalerweise genutzt? [SPEAKER_02]: Ich bezweifelt das Ping ein automatisches Dineel auf Service Attacken Featured und hat.
[SPEAKER_01]: Ja, das ist im Grunde zum Testen, steht meine Verbindung vernünftig stabil, kann mit verschiedenen MTIs rumtesten im Grunde zum Trubelt chutchen, wird das normalerweise sonst genutzt. [SPEAKER_01]: Wenn ich jetzt ein DSL anschlos hab, da ist die MTIU manchmal größer, der technische, der kleiner, der technische Ding, dann kann man halt ausprobieren, ob Pakete von einer bestimmten Größe umgefüllt hat oder ob die noch durchgehen.
[SPEAKER_03]: Jetzt bist du ja schon länger der Beitung, kannst du mir das vielleicht besser beantworten. [SPEAKER_03]: Und bei mir ist es nur so ein Gefühl, was ihr erlebt habt, das früher ICMP einfach immer gesperrt wurde. [SPEAKER_03]: Das war so das Standard, wenn man selber gemacht hat, als im P ping wurde gesperrt. [SPEAKER_03]: Jetzt mittlerweile sieht man das, kommt mir vor immer weniger. [SPEAKER_03]: Und ping ist eigentlich irgendwie wieder überall offen.
[SPEAKER_03]: Ist das wirklich so oder ist es nur, dass ich jetzt irgendwo in ein Weihement bin, wo andere Sicherheitsmechanismen greifen oder ist das allgemein weniger geworden, diese Angriffe? [SPEAKER_01]: Es ist schon so, dass das in vielen Sekilty-Geiles einfach drinsteht, Blockier, ICMP, damit kann man Böse Sachen machen. [SPEAKER_01]: In Teilen stimmt das vielleicht auch früher mal.
[SPEAKER_01]: Aber ich habe auch den Eindruck, dass es immer mehr ernebelt wird, einfach um dieses Travel Shooting besser zu ermöglichen, was man in Tieren im Netz hat. [SPEAKER_01]: Aber auch vielleicht um besser qualifizierte Fehlerberichte von Exzernern schon zu erhalten. [SPEAKER_03]: Aber wie schützt man sich dann bei ICMP? [SPEAKER_03]: Ist das allgemein sicherer geworden? [SPEAKER_03]: Gibt es einfach weniger Lücken als wie früher? [SPEAKER_03]: Oder gibt's diese Angriffe?
[SPEAKER_03]: Immer noch die klassischen Bingenplatz oder wie man ja auch immer nennt. [SPEAKER_01]: Die sind halt ineffizieren, deswegen wählen Angriffe üblicherweise andere Angriffsarten, wo sie größeren Faktoranflifiken bekommen. [SPEAKER_01]: Ich habe den Eindruck, dass wir vielmals gar nicht mehr ausprobiert. [SPEAKER_01]: Beziehungsweise ist es so, dass man als Anbiet oder als Ziel andere Gegenmaßnahmen wählt.
[SPEAKER_01]: Also so ein Raidlimmit, man erlaubt zum Beispiel, hundert Pingenanfragen pro IP und danach wird der Restart getroppt, die wir antwortet, man dann nicht mehr. [SPEAKER_01]: Und wo wird es gemacht am selber wirklich? [SPEAKER_01]: Oder ist es dann meistens inzwischen schon?
[SPEAKER_01]: Negenau schon vorher üblicherweise vielleicht schon im Rutter ganz vorne, oder in irgendeinem Security Gate, weil was man hat, was dann sagt, ich erlaub jetzt eine gewisse Menge an diesen Traffik, zum Traubelt schuten, aber so auffällige Mengen, die keinen Sinn mehr machen zum Traffelt schuten, die blockier ich dann halt.
[SPEAKER_02]: Du hast ja auch ja gesagt, ICMP oder Ping ist ineffizient und Leute gucken, was man das man irgendwie mehr Wulumen hinkriegt, [SPEAKER_02]: Und habe ich etwas Wort amplifikation gestoßen. [SPEAKER_02]: Auch in Kombination mit Ping, Ping, amplifikation oder ICMP, amplifikation. [SPEAKER_02]: Was ist das? [SPEAKER_02]: Und ist das effizienter? [SPEAKER_02]: Ist das cool, oder? [SPEAKER_01]: Wenn man zielt davon wird, ist das nicht so cool meistens.
[SPEAKER_01]: Denn dadurch kriegst man viele höhere Datenrateen. [SPEAKER_01]: Wir sind jetzt quasi damit auf Läervier hochgegangen sozusagen. [SPEAKER_01]: So ein typisches Beispiel ist UDP. [SPEAKER_01]: Es gibt im Internet ziemlich viele öffentlich-erreichbare Server für den S-Zomball-Spiel, Open-Rysolver gibt's. [SPEAKER_01]: Also nennt man die, da kann man dann einfach nachfragen.
[SPEAKER_01]: Zum Beispiel, ich sag mal auf Wolfies Heimatrouter, hat ja dann öffentlich erreichbar einen DNS Server, den Frage dann gibt mir noch bitte die Adresse von Google.com und dann antwortet mir der Server natürlich. [SPEAKER_01]: Jetzt so nehme ich aber mache ich aber eine Anfrage nicht für Google.com, sondern eine bestimmte Anfrage im DNS auf eine Domain, die eine sehr große Antwort zurückliefert.
[SPEAKER_01]: Das sind oft so TXT Records, da kann man ganz schön viel inhalt hinterlegen. [SPEAKER_01]: Ich glaube die Defkonen.org hat glaube ich auch irgendwie eine ziemlich große Reflexionrate an der Stelle, so die Liefer hat deutlich mehr Daten zurück als man angefragt hat.
¶ Attacken auf Layer 4 und 7 (SYN-Flood, Amplification)
[SPEAKER_01]: Wenn man sich jetzt guckt, ich schicken Paket. [SPEAKER_01]: Das hat ich sage jetzt einfach hundertbeid. [SPEAKER_01]: Ich kriege eins von Tausendbeid zurückgeschickt, dann habe ich ein Faktor von zehn schon mal erreicht. [SPEAKER_01]: Das kann auch noch viel größer werden. [SPEAKER_01]: Ich schicken Paket und die Antwort ist hundertmal so groß.
[SPEAKER_01]: Und wenn ich jetzt noch die Fähigkeit habe, meine Adressen zu felschen, also an die du schickstnen gefelschtes Paket mit meiner Absenderadresse, weil der Rutter auf dem Weg der guckt nur nach der Ziel Adresse, der guckt gar nicht nach der Absenderadresse in der Regel. [SPEAKER_01]: Und schickst das an den Rutter vom Wolfi. [SPEAKER_01]: Und der Antwort hat mit einer sehr großen Antwort. [SPEAKER_01]: Und die bekommen aber ich.
[SPEAKER_01]: Ja. [SPEAKER_01]: Und dann haben wir halt sehr große Traffikmengen, die dadurch entstehen können, letztendlich. [SPEAKER_03]: Also, ich nutze dann eigentlich ein, weil ich das gut gemeintes Service an sich. [SPEAKER_03]: Und der Traffik wird dann umgerutet, sozusagen, zu einer andere destination, weil die Sousatresse gespauft ist.
[SPEAKER_03]: Und dann kann ich so jemand anrennen, eigentlich zu müllen, mit einem offiziellen ganz normalen Service, das da draußen irgendwo ist und was auch jetzt nicht irgendwie verzeichnet ist als basis Service oder sonst irgendwas. [SPEAKER_01]: Genau, wenn man jetzt besonders fies ist, dann kann man das auch noch, kann man auch den Google-Den erst benutzen, weil wer spät in den schon bitte.
[SPEAKER_01]: Ja, die Antwort würde dann von die große Antwort kommt dann von der Achtpunkt-Achtpunkt-Achtpunkt-Acht oder von Cloud-Flair. [SPEAKER_01]: Ja, die blockiert doch keiner, so unerweit. [SPEAKER_02]: Also das ist ja eigentlich so, als habe ich einen Sonnenstrahl und einen Spiegel und der Sonnenstrahl schrifft auf einen Spiegel und die ich blinde dann irgendwie fehlen. [SPEAKER_02]: Also ich mein somin im Dreieck kann man das ja eigentlich beschreiben oder? [SPEAKER_01]: Genau.
[SPEAKER_01]: Angriff über Bande sozusagen könnte man auch sagen oder ein Dreieck genau. [SPEAKER_02]: Und wenn ich jetzt sogar noch verschiedene Rechner habe, also ich spiele jetzt mal gerade im Böse wichtig. [SPEAKER_02]: Ich habe jetzt verschiedene Rechner und ich nutze einmal den Google-DNS, dann nutze ich einmal in dort gerade einen DevCon Website, glaube ich, genannt.
[SPEAKER_02]: Also ich nutze verschiedene Service, die mir einen größere Antwort geben als der Request kann ist ja noch schwieriger herauszufinden. [SPEAKER_01]: Okay, ist das jetzt weil Lido oder ist das jetzt nicht weil Lido? [SPEAKER_01]: Genau, also aus Sicht des Ziels bekommt man dann halt sehr viele große Antworten auf den S abfragen, die man aber nie gestellt hat.
[SPEAKER_01]: Man guckt dann da wirklich in den Schaffek und sieht dann, komisch jemand hat irgendwie Texte Records angefragt, warum krieg ich die. [SPEAKER_02]: Jetzt hat es so gesagt, mit diesen amplifikationen Attacken sind wir bereits auf Läher-Fier. [SPEAKER_02]: Wenn ich mich an deine OSI ISO Schichtmodellbeschreibung in einer ist Läher-Fier, ja wirklich das TCP-Protokon.
[SPEAKER_01]: Und UDP, natürlich, gibt noch ganz viele andere auf der Ebene, aber das sind so die üblichen, die auch freigeschaltet sind und genutzt werden. [SPEAKER_03]: Kannst du mal kurz UDP und DCP [SPEAKER_03]: Erklären den Unterschied, auch wenn er an dir zwischang wird, ist ja allgemein wissen. [SPEAKER_03]: Aber es ist ja vielleicht bei manchen Dach schon länger her, bei mir ja auch, die lange Zeit her, dass sie darüber vieles aufiert haben.
[SPEAKER_03]: Wir haben nur eine Smarthörerschaft, die wissen die Stimme. [SPEAKER_03]: Also für mich vielleicht kannst du für mich das kurz. [SPEAKER_01]: Ich mache ganz kurz TCPs, Verbindungsorientiertes, Protokoll. [SPEAKER_01]: Also es wird erst eine Verbindung hergestellt, danach werden die Daten übertragen. [SPEAKER_01]: Und das funktioniert im sogenannten Three by Handscheck, drei Wege Handschlag von mir aus.
[SPEAKER_01]: Der Jinnige, der die Verbindung aufbaut, schickt ein Paket zur Gegenseite, sagt sozusagen, Hallo, ich möchte die Verbindung aufbauen. [SPEAKER_01]: Die Gegenseite antwortet mit, ist okay, mach mal. [SPEAKER_01]: Und dann sagt der Kleint. [SPEAKER_01]: Schickt dann nochmal die Bestätigung, okay, ich nehme Bestätige, die Verbindung ist aufgebaut. [SPEAKER_01]: Das hat halt den Sinn, dass man ein dieser Paket verloren geht.
[SPEAKER_01]: Nicht die eine Seite denkt, dass die Verbindung besteht und die andere halt aber nicht. [SPEAKER_01]: Also dass man sozusagen eine Synchronisation zwischen diesen beiden Seiten erreicht hat. [SPEAKER_01]: Bei UDP ist es so, dass es ein Verbindungsloses Protokoll ist. [SPEAKER_01]: Das heißt, ich kann meine Anfrage zum D&S Server einfach so stellen, da steht schon alles drin. [SPEAKER_01]: Gib mir bitte die Appierdresse für Google.
[SPEAKER_01]: Das schick ich dahin, dann kommt auch die Antwort, als da findet keinen Session auf Baustadt. [SPEAKER_01]: Das heißt, wenn der irgendwo ein Paket verloren geht, ist es weg. [SPEAKER_01]: Genau, das ist weg. [SPEAKER_01]: Dann kommt aber auch keine Antwort. [SPEAKER_01]: Es wird nicht noch mal neu geschickt in der Regel. [SPEAKER_01]: Es gibt natürlich kleinen Implementierung, die dann noch mal das ursprüngliche Paket schicken, aber das ist technisch anders als bei TCP.
[SPEAKER_02]: Wir hatten die eine Attackmöglichkeit. [SPEAKER_02]: Wir machen einfach die Leitung dicht, Implifikation und Alldomen dran. [SPEAKER_02]: Aber wenn ich doch jetzt einen Zustand behaftet des Protokolles, das Wort muss ich mir jetzt aussehen. [SPEAKER_02]: Seht voll, glaube ich, heißt doch Englisch. [SPEAKER_02]: Zustand behaftet habe ich auch superlösende, muss das Wort. [SPEAKER_02]: Protokoll habe, dann kann ich doch auch eigentlich ganz viele Anfragen senden.
[SPEAKER_02]: Und ich sage Hallo, aber unter Breche, das Wort Hallo einfach in der Mitte. [SPEAKER_02]: Also bei TZPEP wäre das dann glaube ich, ich sende einen Sünnpaket, aber niemals ein Ack fragezeichnen. [SPEAKER_01]: Genau, also der kleinen Sende, das Sünnen, die gegenseite Schicken sind Akk und dann kommt von mir das Akk. [SPEAKER_01]: Und in dem Fall, den du beschreibst, schickt man tatsächlich ganz viele Sünpakete.
[SPEAKER_01]: Die gegenseite muss ja irgendwie diesen State halten, die wartet ja drauf, dass sie die ich in letzter Akk antwort noch bekommt. [SPEAKER_01]: Und verbraucht natürlich irgendwie, dass es so sind dafür. [SPEAKER_01]: Wenn man das halt sehr oft macht, dann sind irgendwann die Ressourcen auch alle, die das selber hat. [SPEAKER_02]: Und das bedeutet, der Server wartet dann, dass irgendjemand mal wieder ein Aksendet und hält das dann unendlich offen oder oder wie funktioniert es dann?
[SPEAKER_01]: Unendlich nicht nach einer gewissen Dauer, die man auch beeinflussen kann. [SPEAKER_01]: Wetter dieses halb offene Socket dann auch wieder schließen, aber er versucht mehrfach dann noch nur Rückmeldung zu bekommen. [SPEAKER_01]: Also er schick nochmal sein Sinnackpaket zurück. [SPEAKER_01]: Es könnte ja verloren gegangen sein auf dem Weg, aber im TCP-IP ist ja dieses Session mit drinnen halten, deswegen versucht er immer nochmal zu schicken.
[SPEAKER_01]: Und das ist in der Regel fünf Mal der Fall. [SPEAKER_01]: Mit dem Initialen Paket sind es dann sechs Pakete, die er tatsächlich raus schickt. [SPEAKER_01]: Und da sieht man auch schon, man kann ein Paket, die andere Seite muss sechs schicken und sie muss sich das auch für, ich sage jetzt einfach mal fünf Minuten merken. [SPEAKER_01]: Das verbraucht natürlich Ressourcen und es irgendwann auch ein Problem für die angegriffene Seite.
[SPEAKER_02]: Ich steh mir gar die Frage, ist das nicht total effizient für einen Angreifer, deutlich effizienter, als wenn ich jetzt so eine Vorschleife mit Pingpaketen sind. [SPEAKER_02]: Weil ich kann mir vorstellen, durch den Netzwerkleitungen kann mehr Tröfe durchgehen als das einen moderner Server oder einen halbwegs moderner Server an statischen oder an Statful-Connections halten kann.
[SPEAKER_01]: Genau, das lohnt sich auf jeden Fall, wenn man guckt, die Paket ratios sozusagen eins zu sechs. [SPEAKER_01]: Da muss ja auch mal was geschickt werden. [SPEAKER_01]: Die Antwort ist umgefähr, sage ich jetzt mal genauso groß wie der gesendete Anfrage. [SPEAKER_01]: Ich schick da was hin mit, lang einmal mal einen neuen Hunderten im Bild. [SPEAKER_01]: Es ist nicht ganz das Gigabit.
[SPEAKER_01]: Die Gegenseite muss aber trotzdem dann sechsmal so viel rausschickt und das schafft sie halt auch einfach nicht. [SPEAKER_03]: Also das sind eigentlich dann zwei Angräschweckdoren. [SPEAKER_03]: Ich habe einerseits die Ressourcen die gehalten werden müssen, dass das Server ein Problem hat mit den ganz vielen Ressourcen, die er intern halten muss und auch noch, dass die Leitung auch geflattet wird und dann zu ist.
[SPEAKER_01]: Genau, ausgehend hat er dann halt auch einfach einen Fläffigproblem. [SPEAKER_01]: Da wird dann auch Packet los passieren und die Seite ist unerreichbar her. [SPEAKER_02]: Wie nehmen wir das im Fachschrank um, was wir da beschrieben haben? [SPEAKER_01]: Das wird eine klassische Sünftlutattacke, eine gespofte Sünftlutattacke. [SPEAKER_02]: Was ist deine Lieblingsattacca auf Leia für? [SPEAKER_01]: Mein Lieblings.
[SPEAKER_01]: Eigentlich Low ins Low, weil das irgendwie illeganter ist. [SPEAKER_01]: Da würde man auch ganz viele Verbindung herstellen. [SPEAKER_01]: Man würde aber die tatsächlich etablieren, also wirklich herstellen. [SPEAKER_01]: Und solche Geräte, ich sag mal, nur Cisco Asa oder solche Sachen, die haben einen Session-Tabel und das irgendwann auch voll. [SPEAKER_01]: So hart, wer seid ich? [SPEAKER_01]: Oder auch ein Webserver, ein Patchiers und typisches Beispiel.
[SPEAKER_01]: Da kann als monatiexen fifty Connections, glaube ich, im Default halten. [SPEAKER_01]: Und wenn die halt vollmacht und offen hältst, weil immer ein kleines bisschen an Daten überträgst, dann macht er auch nix mehr, dann nimmt er noch keine weiteren Verbindung mehr an. [SPEAKER_01]: Dann lässt du die einfach Dinge samtten Tag offen.
[SPEAKER_01]: Und der verteidiger sieht dann auf dem Server, ein komisch vieles Sessions sind offen, wenn er genau guckt, aber sieht kein großen Traffic Spike, er sieht nicht das permanent was übertragen wird, er sieht auch gar nicht viele Requests im Lock, also das finde ich so ein bisschen eleganter. [SPEAKER_02]: Du hältst die Sessions offen und dann sendest du alle zwei Minuten mal ein Beitrober oder was passiert dann?
[SPEAKER_01]: Genau zum Beispiel, es gibt so eine klassische Low-Inslow-Attackis-Low-Low-Rest-Nent, die sich und da wohnen einfach immer wieder neue Heder geschickt an den Apache immer mal wieder alle keine Ahnung ziehen Sekunden in neue Heder dahin und der Apache wartet dann auch noch ein Heder, auch noch ein Heder, ich bin immer noch in meinem Modus, ich muss ja auf die Heder warten und das macht da dann noch darauf.
[SPEAKER_02]: Ich finde das richtig geil, es gibt entscheiden, jetzt Pöbel Attacken und elegant Attacken. [SPEAKER_02]: Loslor ist es eigentlich nicht ganz. [SPEAKER_02]: Ich denke, gerade so eine Attack im Anzug vor waren sind. [SPEAKER_03]: Um jetzt schon ein bisschen Vorzugreifen, aber wie kann man so was oder wie kann man da in Gegenwirken?
[SPEAKER_03]: Also kann Apache hat da ja wahrscheinlich keine Möglichkeit, weil oder allgemein die Applikation, die [SPEAKER_03]: hat ein Connection Limit und das jetzt, also kann ich einfach Connections zu machen oder keine Ahnung. [SPEAKER_01]: Ja, es gibt da verschiedene Ansätze zu bei Apache. [SPEAKER_01]: Hat man gibts ein neue MPM, also eine neue Zang Engine, wie mit den Verbindung auch umgegangen wird und wie die gehandelt werden.
[SPEAKER_01]: Und die schließt dann könnte als Beispiel die älteste Connection einfach schließen. [SPEAKER_01]: andere Produkte machen das so, dass sie gucken, ist in meiner Session irgendwas an Daten übertragen worden, wenn ich oder wie viel wurde da übertragen oder wurde da der komplette Heder schon abgeschickt, um einfach diesen angeres Wektor komplett entgegenzutreten.
[SPEAKER_01]: Also Kategorisch, das auszuschließen, weil Eimer schickt der vielleicht Hostheader, der nächste schickt andere. [SPEAKER_01]: Das kann man nicht so unewaitresstatisch wildern, sondern man sagt einfach, es ist kein vollständiger request durchgekommen innerhalb von sechs Sekunden, dann schließe ich doch einfach mal die Verbindung. [SPEAKER_03]: Aber das ist ja auch immer so eine Finanziertes Maus und Katze. [SPEAKER_03]: Katze, Katze, Katze, Katze, Katze. [SPEAKER_03]: Die Katze.
[SPEAKER_03]: Weil Apache hat es oben so aus. [SPEAKER_03]: Sie kann genau nachschauen. [SPEAKER_03]: Wie ist die Logik? [SPEAKER_03]: Und dann probiert halt genau diese Logik wieder zum Gehen. [SPEAKER_03]: Und schick genau diese Heder, die eben nicht ausgenommen sind, oder das eben dieses, auf Gott Deutsch, dieses Impfstätement wieder happy ist und meine Connection nicht schließt.
[SPEAKER_01]: Also ja, in dem Fall wäre es so, dass das beim Apache mit dieser einen MPM schon auch noch funktionieren kann, so weit ich weiß. [SPEAKER_01]: Aber mal versucht halt dieses generische Problem auszuschließen. [SPEAKER_01]: Also man könnte auch anders kaputt der Heder schicken.
[SPEAKER_01]: Man guckt halt dann wirklich, [SPEAKER_01]: ist nach ex Sekunden eine vollständige Anfrage angekommen, wo der die abgeschickt bin ich sozusagen aus meinem ich warte auf header oder dass ich einen requestkrieg modus bin ich da wieder raus sozusagen und dann unterbrecht man halt hart und wenn die Anfrage nicht mal liede ist, dann schmeißt man sie halt auch einfach in die meltonne
[SPEAKER_02]: Jetzt kenn ich noch die Problematik, dass damals als SSL-Zertifikate noch nicht der Standard im Internet waren, hat man sich noch sehr viel Gedanken darüber gemacht, wo man SSL-Zertifikate denn, wo man die Verschlüsselung den terminiert.
[SPEAKER_02]: Auf dem Server, am Loadbildenden zu uns so weiter, weil das ja recht aufwendige Berechnungen sind, Kryptografie und Co. [SPEAKER_02]: kann das bei Hochschräffekseiten natürlich auch recht teuer werden, weil das relativ viele [SPEAKER_02]: CPU-Zeikels verbraucht. [SPEAKER_02]: Jetzt stelle ich mir gerade die Frage, besonders wenn wir im Kontext von Attacken sprechen. [SPEAKER_02]: Und eine Operation ist sehr teuer. [SPEAKER_02]: Das ist auch mir ein wunderbarer Attack-Vector, oder?
[SPEAKER_02]: Kann ich nicht irgendwie sagen, sowas wie die Synflot? [SPEAKER_02]: Ich starte einfach, was ich starte einfach immer nur einen neuen Verschlüsselungs-Entschlüsselungs-Prozess auf dem Server, weil ich eine... Es ist L-Anfragen-Schick, oder ähnliches? [SPEAKER_01]: Genau, das ist auch so, dass das ganz gut funktioniert. [SPEAKER_01]: Früher war es noch so, dass man eine Renigo-Chieration des Schlüssels auch machen konnte, bei einer etablierten Verbindung.
[SPEAKER_01]: Und das ist aber dieses Austauschen. [SPEAKER_01]: Es ist ja erstmal asymetrische Verschlüsselung. [SPEAKER_01]: Und danach folgt dann die Symmetrische, die Symmetrische ist schnell, das kennt man. [SPEAKER_01]: So eine asymetrische erzeugt hat auf der Server Seite eine deutlich höhere Last als auf dem Client.
[SPEAKER_01]: Das heißt selbst mit meinem kleinen Laptop, konnte man über so eine Reden Negotiation, die man einfach in der selben Session immer wieder triggert permanent, erreichen, dass der Server hat eine super hohe Auslastung hat. [SPEAKER_01]: Ergebnis davon war eigentlich macht keiner, heute zu Tage, wo da hat das Featuren Negotiation noch an. [SPEAKER_01]: LibrarySams komplett ausgebaut. [SPEAKER_01]: wird gar nicht mehr supportet in der Regel.
[SPEAKER_01]: Da gab es einen Tool von THC, der Hackast Choice, was das auch ausgenutzt hat. [SPEAKER_03]: Ich bin jetzt schon von der Creativeität. [SPEAKER_03]: Aber da brauchen wir dann schon auf der Kleinzeite auch viel Ressusen, oder? [SPEAKER_01]: Also auf der Kleinzeite geht es tatsächlich relativ leicht. [SPEAKER_01]: Die Anfragen sind nicht besonders groß. [SPEAKER_01]: Wie man da stellt, so ein SSL Schlüssel hat da auch eine gewisse Größe tatsächlich.
[SPEAKER_01]: Wenn man da dann ein Zehntauschen-Handschecks in der Sekunde macht, da strecken die meisten Server dann schon alle vier von sich. [SPEAKER_01]: Es kommt auch doch auf an welche Verschlüsselung man tagetet. [SPEAKER_01]: Es gibt der ETC-Eleptik-Craft-Cryptografie und RS-A. [SPEAKER_01]: Also RS-A ist eigentlich das ältere. [SPEAKER_01]: Und RS-A benötigt halt deutlich mehr Ressourcen auch beim Schlüssel austausch.
[SPEAKER_03]: Aber wenn ihr in sauberen Handschägt, dann wirklich durchführen und alles aufbauer, also eine SSL-Connection, dann hat der Kleinen natürlich auch irgendwo ein Kriptchen, Ressourcen, die verwendet werden müssen, oder? [SPEAKER_03]: Also, ihr muss ja in beide Richtungen dann verschlissen. [SPEAKER_01]: Ja, an der Stelle wird man dann aber die Verbindung einfach beenden.
[SPEAKER_01]: Man macht nur den Schlüsselausstausch und dann sag ich, schubs Verbindung ist beendet oder ich bin sogar fies, meinen böse Angriffskleint beendet die Verbindung gar nicht sauber. [SPEAKER_03]: Also so wie beim Sinfladen mache ich eigentlich nur so eine halbe Connection und Träger den Server, dass er viel ein Kriptchen machen muss.
[SPEAKER_01]: Genau und dann, wenn ich fies bin, lasse ich dir einfach offen, ich melde mich sogar nicht mal vernünftig ab und sagt, dass die geschlossen wurde. [SPEAKER_02]: Ich hab mal von der Attacke gelesen auf einen Login-Formular, wo jemand im Passwort fällt, einfach drei MB-Tex-Ring gepackt hat. [SPEAKER_02]: Weil ein Passwort, wird ja im Klartext in das Formular gepackt, dann fährschlüsselt auf die Bisseurer.
[SPEAKER_02]: Und wenn man die Zeichen länge nicht begrenzt und wenn man sogar einen teuren Verschlüsselungsalgorithmus dahintert, teuer im Zug of CPU, dann hat wo damit auch das Server lang gelegt. [SPEAKER_02]: Weil da einfach drei, fünf, sechs MB-Tex in dem Passwort fällt drin ist. [SPEAKER_02]: Ist auch eigentlich genau das gleiche oder? [SPEAKER_01]: Ja das könnte man sogar als normale die Neil auf Serviceattacke vielleicht umsetzen.
[SPEAKER_01]: Es gibt auch andere Varianten von so was zum Beispiel über komplexe Heschfunktionen, die geträgert werden oder by regular Expressions zum Beispiel. [SPEAKER_01]: Wenn man da was sehr komplex ist, da rein wirft, da gab es früher mal auf dem Chaos Computer-Club mit interessanten Vortrag zu.
[SPEAKER_01]: Dann kriegt man den Server auch relativ leicht auf eine höhere Lot, wenn man das dann nicht nur von einem Kleint macht, sondern von fünfhundert zum Beispiel, dann kann man das schon ganz schön viele Server mit abschießen tatsächlich.
¶ Attacken auf Layer 8 (Business-Logik) und Bot-Netze
[SPEAKER_01]: PRP hat deswegen einen Limit eingeführt, wie viel Variablen man an PRP übergeben darf. [SPEAKER_03]: Aber jetzt befinden wir uns dann schon auf Läher-Acht, oder? [SPEAKER_03]: Ist das dann schon ein bisschen nicht logik? [SPEAKER_03]: Ich solche Passwort, also Passwort fällt Probleme. [SPEAKER_01]: Könnt man fast schon sagen, vielleicht ist es eine Art, ja, Logikfehler.
[SPEAKER_01]: Man hat nicht immer nachgedacht, dieses Feld zu begrenzen oder man bändet nicht die Transaktion, wenn man merkt, da kommt zu viele Daten. [SPEAKER_01]: Könnt man schon fast sagen, ein bisschen ist Logik. [SPEAKER_03]: Was haben wir sonst? [SPEAKER_03]: Läher-Acht, die Neil auf Service-Atex. [SPEAKER_01]: Also das typischer, was ich eigentlich ganz witzig finde, ist die Nall auf Inventory habe ich das mal genannt.
[SPEAKER_01]: Meine Frau bestellt gerne Sachen online, zum Beispiel, ja in irgendeinem Store einfach. [SPEAKER_01]: Und wenn man da Sachen in den Warenkopf packt, dann sind die reserviert. [SPEAKER_01]: Damit nicht der nächste, das kauft, während man dann gerade seine Kreditkarten Daten eintippt, wäre auch total ehrlich schlechte Experience möchte man nicht. [SPEAKER_01]: Also wird das Item reserviert.
[SPEAKER_01]: Wenn ich dann jetzt alle Eitems aus dem Shop in meinem Wachenkorb rein pake und da kein Limit festgelegt habe für die Session, dann kann halt da gerade auch niemand mehr einkaufen. [SPEAKER_01]: Vielleicht benutzt sich dann auch noch, hab ich mir hundert veräms gemietet in RWS, hab die noch genutzt, um mich so ein bisschen besser zu tanen. [SPEAKER_01]: Und dann kann man schon im Krieg in den ganzen Online Shop auch hier zu blockieren, letztendlich.
[SPEAKER_01]: Und der Effekt ist der selbe, man hat einen finanziellen Schaden. [SPEAKER_01]: Ob ich jetzt die Seite komplett abschieße oder so blockiere, macht da kein Unterschied dann. [SPEAKER_03]: Und das wahrscheinlich auch schwer festzustellen, oder? [SPEAKER_01]: Es ist schwieriger, festzustellen tatsächlich, weil es hat halt mit deiner Business Logic zu tun. [SPEAKER_01]: Du musst halt das irgendwie erst mal feststellen.
[SPEAKER_01]: Du kannst ja dem Netzwerk Team nicht sagen, hey, irgendwie ich alle Artikel sind in meinem Shop weg. [SPEAKER_01]: Da brauchst du Leute, die die Applikation verstehen. [SPEAKER_01]: die die Applikation auch entsprechend mit heißer Nadel gestrickt vielleicht auch noch gerade während die Attacke läuft umbauen können um das zu verhindern. [SPEAKER_01]: Gattet es online Shop jede Stunde kostet Geld, wenn man groß ist, wird es richtig teuer.
[SPEAKER_03]: Und vom Finanzierungsmodell werde ich dann nicht ihr Presse den Shop und sagen, ich mache das jetzt auf Dauer jeden Tag, bis du mir was traust. [SPEAKER_01]: Genau, z.B. [SPEAKER_01]: den Shop einfach näherfen, aber vielleicht auch Tickets kaufen wollen. [SPEAKER_01]: Snickerbots sind auch sehr bekannt, da gibt es auch so Snickerdrops, dann gibt es unerfünfzig Stück davon. [SPEAKER_01]: Also Snicker wie die Schuhe ist. [SPEAKER_01]: Genau, wie die Videoschule.
[SPEAKER_01]: Und dann hat halt jemand findiges einen Board programmiert, der blockiert halt die Wagenkörbe oder Kaufteilt alle Schuhe gleichzeitig, um sie dann halt teurer wieder zu verkaufen. [SPEAKER_01]: Das ist so ein System, was da auch tatsächlich existiert, wo auch wirklich Geld hintersteckt dann. [SPEAKER_03]: Ja, ich bin auch echt sauer, weil das letzte Mal, ich glaube, ich habe noch nie Tellerswünftig jetzt bekommen. [SPEAKER_03]: Ja, weil du das schon jemals probiert hast.
[SPEAKER_03]: Aber du schastest ja nicht mal dort der Hosenkarten zu. [SPEAKER_02]: Das ist ja da bin ich richtig gut. [SPEAKER_02]: Da bin ich richtig gut. [SPEAKER_02]: Da kriege ich eigentlich immer Karl. [SPEAKER_02]: Aber! [SPEAKER_02]: Jetzt heißt das Ding ja Distributed die NL auf Service Attacken. [SPEAKER_02]: Und dieses Distributed, so weit ich dich verstanden habe, kommt ja aus dem Punkt, dass die Attacke nicht von einer Source gemacht wird, sondern von Endsourcen.
[SPEAKER_02]: Zwei, fünf, tausend rechnan oder die weiß es. [SPEAKER_02]: Und bei der Recherche bin ich über ein Begriff, gestorbe bei denen ich botnetz. [SPEAKER_02]: Da ist so ja auch schon kurz erwähnt. [SPEAKER_01]: Wie funktioniert so ein botnetz technisch? [SPEAKER_01]: Da gibt es auch so ein paar verschiedene Varianten, aber starten wir mal mit man ganz einfachen. [SPEAKER_01]: Ich sag mal, der Angrafer denkt sich, ich möchte da halt die Netzwerkresourcen ja nicht selber bezahlen.
[SPEAKER_01]: Irgendwie so ein AVS ist dann doch teuer gerade beim Chefik, wenn ich ganz viel davon fuhre Sachen möchte. [SPEAKER_01]: Ich möchte das gerne umsonst haben. [SPEAKER_01]: So, brauche ich mir botnet. [SPEAKER_01]: Wie kriege ich das hin? [SPEAKER_01]: Ich habe einen Code, den müssten Leute auf ihren Rechner ausführen. [SPEAKER_01]: Vielleicht habe ich ein gutes Exploiter für, aber das haben wir auch wahrscheinlich schon andere.
[SPEAKER_01]: Ich bin jetzt wahrscheinlich nicht der Superhacker und kriegt das hin in so viele Systeme einzudringen. [SPEAKER_01]: Ich mache einfach eine neue Version von einem Spiel. [SPEAKER_01]: Es gibt einen tollen Krack dafür Minecraft. [SPEAKER_01]: Man hat einen Vorteil dadurch. [SPEAKER_01]: Und in diesem Crack pack ich halt auch noch mein Botnetcode zusätzlich mit rein. [SPEAKER_01]: Vielleicht funktioniert der Crack sogar, wäre es sogar gut.
[SPEAKER_01]: Dann an die Leute nix davon, wo sich es eingefangen haben, die führen das Ding aus. [SPEAKER_01]: Und dieses Ding meldet sich dann zentral bei meinem Server an. [SPEAKER_01]: Den habe ich jetzt vielleicht dann doch bei AVS mit einer geklautenden Kreditkarte oder sonst wie Beschafft. [SPEAKER_01]: Man möchte also die meisten versuchen ja schon irgendwie anonym noch zu bleiben, die angreife.
[SPEAKER_01]: Aber da melden sich dann zukünftig alle Bots an, die sagen dann, so ganz klassisch, über so ein IRC Protokoll wird da geschwochen, die melden sich, man ist in einem Channel drin und hat dann seine Bots die rein sollen, wenn derjenige, der betroffen ist, sein Rechner ausmacht, gehen die wieder weg. [SPEAKER_01]: So, dann kommen Sie aber wieder, wenn er den Rechner wieder anmacht.
[SPEAKER_01]: Also man hat dann immer so ein Pool von System, die verfügbar sind, den schick man dann einfach Kommandos und sagt, hier bitte zackfolgende Alpierdresse oder Webseite angreifen mit folgenden Angriffstüben und dann machen die das auch einfach. [SPEAKER_02]: Ich bin auch mal der Recherche auch wirklich nostallisch geworden und deswegen mal die Frage, in welchem Eier-C-Netzwerk warst du früher unterwegs Wolfgang?
[SPEAKER_02]: Warst du so klassischer Quake-Net User oder Quake-Spinztür? [SPEAKER_02]: Nicht weggespielt. [SPEAKER_02]: Du musst nicht Quake spielen, um im Quake nicht gewesen zu sein, genau. [SPEAKER_02]: Da hat man einfach so umgehangen bei den Kuhn. [SPEAKER_03]: Ich hab hier einen Non-Eiersee-Jußern nehmen wir sitzen. [SPEAKER_03]: Also, wie die Quake am Markt war, da war ich schon so... [SPEAKER_02]: Quake Net hat Nikke zu tun.
[SPEAKER_03]: Das neue Name. [SPEAKER_03]: Meine Aresys haben anders geheißen, aber wir können ja noch mehr wie. [SPEAKER_03]: Also ich war im Dahlnet früher vertreten. [SPEAKER_02]: So wie im Dahlnet? [SPEAKER_02]: Dahlnet. [SPEAKER_02]: Ja, ich glaube, der wofür hat sich gerade einfach als nun ISC User Exposed. [SPEAKER_02]: Und ja gut, also wie schnell folgt man krellability in eine Fluffelentwicklung foskast.
[SPEAKER_02]: Aber ich stehe von, du sagst das gerade, die melden sich dann in einem ISC-Channel. [SPEAKER_02]: Und dann ist da jemand, der gibt den Bots, dass sie daran gekarperte, die weiß es. [SPEAKER_02]: Wenn ich das jetzt richtig verstanden habe, dann befehle ich bin auch über dem Griff-Kommad in Control zur Übergestollpartgenau. [SPEAKER_02]: Jetzt ist es aber so, wenn ich als BKA Zugriff zum ihr See-Channel bekomme, bin ich da nicht der Oler?
[SPEAKER_01]: Ach so, ja da ist in der Regel dann natürlich schon hinterlegt, dass man irgendwie ein Geheimnis Passwort braucht oder sich gegenüber den Botsantentifizieren muss, damit die aktiv werden. [SPEAKER_01]: Ja, theoretisch, also wenn der Server beschlagnet wird, dann könnte man da schon was machen.
[SPEAKER_01]: Also auch wenn man den Quakeote des bots analysiert und so weiter und dann die Kontrolle über dieses Botnet, also über den ihr Ziser übernimmt, dann könnte man das schon beeinflussen und dann könnte man auch sagen, manchmal gibt es ein selbstes Praktfunktion, zack bitte leuchst euch alle. [SPEAKER_01]: Macht das, machen man die Behörne auch tatsächlich, ist schon vorgekommen.
[SPEAKER_01]: Und lustige Eineckdote, ich habe selber mal in meiner Freizeitenden Bot untersucht und habe tatsächlich geschafft, dem Bot auch in einem Jahrzehtschannel zu treffen und mich mit dem zu unterhalten. [SPEAKER_01]: Also wird auch heute zu Tage immer noch benutzt und ist eine relativ einfache und gerne genutzte Variante. [SPEAKER_01]: Es gibt viele fertige Bots dafür, dass es so ein Skripkidiläfel auf dem das passiert.
[SPEAKER_01]: Ich habe gefragt, was so, dass das Ziel von dem Botnet ist, quasi. [SPEAKER_01]: Also sucht er irgendwie Informationen, was macht er damit. [SPEAKER_01]: Und dann haben wir uns ganz nett unterhalten. [SPEAKER_01]: Der war natürlich sehr misstrauisch. [SPEAKER_01]: Ja, wir kommt da hier in meinen Channel rein. [SPEAKER_01]: Und du hatte's in die Weiß, was gekarpert wurde von ihm oder woher du den Botcode.
[SPEAKER_01]: Ja, ich hatte über Bekanntschaft sozusagen in ihr Z-Bot, der auf dem System aufgefunden wurde und hab dann da quasi incidentmanagement gemacht. [SPEAKER_02]: Jetzt ist es aber so, jetzt haben wir gerade den Kommand in Kontroll zu einem IAC-Channel besprochen. [SPEAKER_02]: Und jetzt denke ich mir, als Softwareentwickler.
[SPEAKER_02]: Ja, wir haben das ja in Zukunft nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur nur
[SPEAKER_02]: Die kann man ja noch super einfach dann auch in unserem Botnet einbauen, oder? [SPEAKER_02]: Also ich mein Botnet braucht ja keine zentrale Anlaufstelle. [SPEAKER_02]: Im Botnet kann ja auch ein Piatupier-Netzwerk sein oder ähnliches. [SPEAKER_02]: Gibt es solche Strategien auch oder sind das alles nur Skipp-Kedis, die von Tuten und Blasen wenig annehmen haben? [SPEAKER_01]: Also ein großer Einfachenanggriffe versuchen schon so was. [SPEAKER_01]: Das stimmt.
[SPEAKER_01]: Es gibt aber auch deutlich ausgefaltere Botnetze. [SPEAKER_01]: Es gab zum Beispiel das Dom-Botnet, was sehr groß war. [SPEAKER_01]: Ich glaube über eine Millionen Bots, die da tatsächlich drin waren. [SPEAKER_01]: Und die haben peer-to-peer auch benutzt. [SPEAKER_01]: Und die haben auch aktiv in einer Lüse dieses Netzwerks erschwert.
[SPEAKER_01]: Wenn man versucht hat, da irgendwie beizutreten und das so ein bisschen auszuforschen, dann wurde man automatisiert durch ein Diedausangeref auch attackiert, sozusagen. [SPEAKER_01]: Also die hatten da verschiedene, sozusagen, na ja, idee es mich ja nicht so ein könnte man fast schon sagen. [SPEAKER_01]: Das war schon technisch sehr ausgeklügelt, hatte aber auch seine Schwächen irgendwo und wurde letztendlich über ein paar Probleme im Protokoll dann auch in Teilen zerschlagen.
[SPEAKER_02]: Ich hatte mich selbst schon dafür, weil ich bringe, das Thema ist einfach auf KI und AI. [SPEAKER_02]: Ich mache jetzt eine Strichliste für KI, wann du KI ansprächst, wie soll es bist, immer du? [SPEAKER_02]: Nein, das stimmt nicht. [SPEAKER_02]: Letzt mal was du es, aber also so nach dem Motor keine Anung ist, besonders mit dem ganzen agentik workflows und so weiter und so vor.
[SPEAKER_02]: Ich gibt mir jetzt inzwischen aufgabe, dann suchte sich den richtigen Agenten raus und der Agent legt los und allem drum und dann dann werden eine etliche Tools getriegert und co, also kann das nicht einfach dafür auch missbraucht werden. [SPEAKER_01]: Ja, dann bin ich mir nicht so sicher wie dann die Schnittstellen da entsprechend wären und funktionieren würden.
[SPEAKER_01]: Oder ob nicht die öffentlich verfügbare AI dann doch was dazu sagt, wenn du das bitte besorge mir, fünfzig gestolene Kreditkarten und bestell anonym und wie server war aber erst. [SPEAKER_01]: Nee, nee, so meint ich das nicht. [SPEAKER_02]: Ich meinte eigentlich so, ich gebe jetzt, ich gebe jetzt, ich sage simplifiziert jetzt einfach mal chatGBT, oder mit einem localmodell, mach eine Internet-Recherche. [SPEAKER_02]: Mach so, dann fäde der ja auch Request raus.
[SPEAKER_02]: Das ist auch nicht eine Art, amplifizierung.
¶ KI als Angriffsvektor
[SPEAKER_01]: Ja, ich glaube, so ein ZGPT würde dann wahrscheinlich schon, wo oft mal zwischen Cache sind, wenn jetzt alle Leute gleichzeitig auf den Knopf drücken, okay. [SPEAKER_01]: Aber ich denke schon, dass da irgendwo die Sachen Cachen würde. [SPEAKER_03]: So schnell, wie es funktioniert, wo die mal auch sagen, dass ganz viel gekestet wird.
[SPEAKER_03]: Also teilweise hast du wirklich super schnell Antworten und du siehst aber, dass er auf gewisse Quellen geht oder gewisse Webseiten aufrufen war. [SPEAKER_03]: Aber man hat natürlich schon von vielen Website bedreibern, dass der Traffic extrem nach oben gegangen ist. [SPEAKER_01]: Ja, das stimmt.
[SPEAKER_01]: Ich meine mich auch zu erinnern, dass es in der Anfangszeit eine Attacke gab, die sowas ausgenutzt hat, eine gewisse Leer-Sieben-Empplifikation wäre das dann ja, irgendwas klingelt da.
[SPEAKER_02]: Aber gibt es in einem ganzen Sector, in dem ganzen Diedors Angriff, Sector, irgendwelche Basswords mit AI und so weiter, weil ich meine, wenn die schon so sophisticated Engineering praktiken, wie verteilt dieses Thema und Co, anwenden, dann würde ich mir denken, machen die auch von den normalen Trends ja kein Halt, weil das scheint ja dann schon echt fehlige Menschen zu sein, dieses Software und diese Botsamber entwickeln.
[SPEAKER_01]: Also was wahrscheinlich ein guter Angriff wäre, vielleicht gegen eine Firma, die auch selber AI-Agent oder Bot hat, wäre einfach mit der eigenen AI, da uns inlose Fragen zu stellen. [SPEAKER_01]: Also bitte beschäftige doch den Agenten von der anderen Seite, weil die müssen für Tokensgeld bezahlen. [SPEAKER_01]: Das kann dann unter Umständen auch teuer werden, wenn meine eigenen Bots von der Webseite die gesamte Zeit mit Nonsens vollquatschen.
[SPEAKER_01]: Also wirklich längliche Diskussionen führen, ohne Sinn und Verstand. [SPEAKER_01]: Oder wenn man einfach sehr gut ausgearbeitet ist, SupportCases für den Würde. [SPEAKER_01]: Dann verstoppt man, macht man ein Distributed in einer Service gegen das Support Personal letztendlich. [SPEAKER_01]: und erzeugt auch ihre hohe Kosten, wenn du da zehn tausend gut gemachte Kunden anfragen reinpakt. [SPEAKER_01]: Da hat dabei der Support erst mal ganz schön viel zu tun.
[SPEAKER_01]: Also vielleicht ist er auch wieder AI, aber das wird ganz schön teuer werden. [SPEAKER_03]: Der anliere und ich war eine Gerer der auf der Froskunden und da gab es einen Vortrag von Daniel Stemberg, der ihr Köll entwickelt und der hat genau das erzählt, dass sie in ihrem [SPEAKER_03]: Herr Carbon Account, wo es darum geht, Box zu finden, also ein Backbounty, dass die ganz viel gute, aber auch schlechte KI-Generier der Cases reinbekommen und man muss sich die natürlich ansehen.
[SPEAKER_03]: Also man kann manchen natürlich schnell ausschließen, aber ganz viele muss man wirklich reingehen, muss Sachen ausprobieren, ist es wirklich ein Back. [SPEAKER_03]: Und wenn du dann da geflattet wirst, dann hast du dann natürlich extreme Probleme mit deiner Zeit, weil du einfach nur überprüft ist, ist es ein echter Case oder ist es eigentlich ein KI-Generier der Case. [SPEAKER_01]: Genau, und der sieht auch so überzeugend aus.
[SPEAKER_01]: Ich weiß nicht, wenn man jetzt sogar eine KI hätte in seinem Support, wenn man der sagen würde überprüft mal diesen Case, da will der wahrscheinlich als doch haste Schabba-Pagei sozusagen auch sagen, oh ja, wie sieht so aus, als werst was wahrscheinlich ist, ja, prüft das mal per Hand. [SPEAKER_02]: Da zieht die Attacke jetzt aber natürlich nicht auf eine Resource-Exhaustchen ab, sondern eher auf, ich sag mal eine Verschwendung. [SPEAKER_02]: Jetzt sehen wir mal die IT-Martik.
[SPEAKER_02]: Da flattest du die ganze Zeit mit Infotokens und Infotokens. [SPEAKER_02]: Infotokens, da wird es dann teuer hast du gesagt. [SPEAKER_02]: Bei dem AI-Slob-Tork, den der Woffungrad erwähnt hat, war es dann natürlich dann irgendwie einen Arten, weil sie Engineering Power vom Daniel ist. [SPEAKER_03]: Aber am Ende hast du immer Ressusend, die du Verschwendest oder oder die Limitiert sind. [SPEAKER_03]: Ist ja egal, ob es jetzt eine technische Ressusse ist oder ein Zeit als Ressusse.
[SPEAKER_02]: Ja, die die Hörerin und Hörer hören, das ist natürlich nicht, weil der Wolfgang das Mentor wahrscheinlich herausgeschnitten hat. [SPEAKER_02]: Aber er hat mich gerade auf der Meter eben angefragt, ob wir langsam mal zu abwehr kommen sollen. [SPEAKER_02]: Eigentlich ist die Antwort Nein Wolfgang. [SPEAKER_02]: Ich möchte nicht über die Adväre sprechen, weil ich die Angriff für super kreativ und spannend finde.
[SPEAKER_03]: Ja, aber es ist ja immer leicht, die einfach angreifte zu beschreiben, aber es ist ja viel viel schwerer, dann was dagegen zu tun. [SPEAKER_03]: Ihr vielleicht will ich eigentlich auch erwärten. [SPEAKER_03]: Kannst du ja immer noch. [SPEAKER_02]: Aber jetzt ist es natürlich so, du hast gerade schon von Illigans bei Angriffen gesprochen, vor allem schon unglaublich gut finde.
[SPEAKER_02]: Jetzt haben wir gerade über ganz viele verschiedene Angriffe, auf verschiedene Lehren gesprochen. [SPEAKER_02]: Wie zu Hölle kann ich denn so ein Angriff erkennen? [SPEAKER_02]: Kann es noch ein Beispiel nehmen, aus irgendeiner Attacke, die wir jetzt genannt haben, wie man sowas erkennen kann? [SPEAKER_01]: Sag mal mal, so ein Low-Ents Low-Angriff, jemand verbindet sich dahin und überträgt nichts.
[SPEAKER_01]: Macht die Sessions auf und dann kommt halt einfach kein Request, dann sehe ich in meinen Lockfiles. [SPEAKER_01]: theoretisch, die Prüfian nicht behandt, aber in meinem Lockfalt hat ich dann überall in wie ledger in der Anfrage, so da hat nichts übertragen. [SPEAKER_01]: So das nehme ich natürlich in irgendwelche Auswertungssystem, in meinen Siem, was um euch das Produkt habt. [SPEAKER_01]: Und erstelle mir halt vielleicht einen Grafen dazu.
[SPEAKER_01]: Oder ich habe da auch schnellen Werte hinterlegt und sage, hey, wenn ich jetzt eine Abweichung von Normalmhab um tausend Prozent, dann sollte ich vielleicht jemanden erlöten, könnt ihr ja nicht einen Angriff sein, vielleicht ist es auch mal eine Seite kaputt.
¶ Erkennung und Abwehr von DDoS-Angriffen
[SPEAKER_01]: aber man guckt halt so nach statistischen Auffälligkeiten. [SPEAKER_01]: Nur nach komischen Glitches sozusagen in meinem Webseiten-Traffek. [SPEAKER_01]: Ich habe so meine Baseline so sieht's aus. [SPEAKER_01]: Ich habe das manchmal, ich guck auf dem Grafen drauf und dann sagst du sofort, dass der dieses Angriff war. [SPEAKER_01]: Ich habe das halt einfach, man sieht das irgendwann auch einfach. [SPEAKER_01]: Und was man sieht, das kann man in der Regel automatisieren.
[SPEAKER_03]: Ob bei tun natürlich jetzt voraussetzt, dass man die Metriken überhaupt mal aufzeichnet. [SPEAKER_03]: Weil wenn es jetzt keine eine Apache oder so ist dann halt vielleicht meine Traffic-Metriken, aber dass da irgendwo in den Locks mal hin und wieder irgendwelche Warnings maximale Connection erreicht oder so steht, ist ja noch mal etwas anderes. [SPEAKER_01]: Genau, man muss schon seine Anwendungen über seinen gesamten Texteck im Runde sehr gut kennen.
[SPEAKER_01]: Man muss den auch in Ruhe getestet haben, denn was so nicht getestet hast, dem kannst du auch nicht wirklich vertrauen, dass wird an allen möglichen Stellen implodieren, so weiter der erste Ernsthafte angeriff kommt, sonst. [SPEAKER_01]: Also, testing, testing, testing wäre meine Empfehlung. [SPEAKER_02]: Wir wofür ich finde frechheit langsam, was du unseren höheren Anmaß, ja.
[SPEAKER_02]: Und die observabilitivfolge mit Severin Neumann haben wir im Dezember Drei uns wanzig die Pläut. [SPEAKER_02]: Das bedeutet, wir sind jetzt im Sitten Quartal danach. [SPEAKER_02]: Jeder hat schon observabilitiv von unseren Hörern und Hörern. [SPEAKER_02]: Ja, aber da kannst du erst falsche Observen. [SPEAKER_02]: Ja, aber sie haben jetzt Locks und die haben es bestimmt auch schon mal ein bisschen Telemetry da.
[SPEAKER_02]: Und jetzt haben sie Grafana und jetzt stellt ich mir gerade die Frage, okay, du hast jetzt gerade die Slow & Slow & Slow. [SPEAKER_02]: Slow & Slow Attack geschrieben, da frag ich mir gerade, okay, ich habe jetzt ein Dashboard, das Dashboard heißt Slow & Slow Attack. [SPEAKER_02]: Und [SPEAKER_02]: für um einen sinnflatt zu entdenken, brauche ich andere metrigen bzw. [SPEAKER_02]: andere curious auf dem metrigen.
[SPEAKER_02]: Heißt das jetzt eigentlich für jede mögliche Attacke, baue ich mir vorher in der Sport. [SPEAKER_01]: Also das ist, du versuchst seit Kategorien von Attacken zu grobieren, irgendwie. [SPEAKER_01]: Wenn du jetzt zum Beispiel sagst, ich hab sehr viele kleine Pakete, wer irgendwie eine interessante Mieträge, weil das ist nicht normal.
[SPEAKER_01]: Du hast bei einer Webseite so ein übliches, ein bisschen Verbindungsaufbau, paar große Pakete und deine Bilder rüberzuschieben und natürlich ein paar kleinere Pakete, weil die ja nicht immer genau die maximale Pakete rüsse ausfüllen. [SPEAKER_01]: Also du kannst das schon ziemlich genau Statistiken zu haben und auf Animalinanamieren, aber idealerweise, [SPEAKER_01]: sollte man auch nicht alarmieren und erst dann was machen.
[SPEAKER_01]: Idealerweise hast du eine Maßnahme getroffen. [SPEAKER_01]: Die ist nicht erfordert, dass du aktiv ist. [SPEAKER_01]: Also beispielsweise der Synflatt passiert. [SPEAKER_01]: Du weißt aber, der wird abgewert, bis zu, ich sag mal, zmoner Gigabit oder sowas.
[SPEAKER_03]: Und dann alarmierst du vielleicht bei mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit mit
[SPEAKER_03]: müsst ihr das wirklich selber machen, weil ich glaube, dass die wenigsten die in selber haben und wie Paketgrößen zum Beispiel Monitorn. [SPEAKER_03]: Oder überhaupt eine Anung haben, was übliche Paketgrößen sind. [SPEAKER_01]: Ja, das ist das übliche Make-up-I-Tema. [SPEAKER_01]: Wir haben uns irgendwann entschieden, wir sind das unsere Kunden haben für uns entschieden.
[SPEAKER_01]: Sie würden gerne gewisse Diedos abwehrleistungen bei uns einkaufen, also haben wir dann angefangen, das zu bauen. [SPEAKER_01]: Wenn man heute vom Scratch da dran gehen würde, viel zu teuer. [SPEAKER_01]: Wenn man's kann, nimmt man irgendeinen Anbieter, so das typische, jetzt muss ich natürlich auch Cloud-Fier sagen. [SPEAKER_01]: Ist ein guter Anbieter dafür, wenn man da nicht Behörden hat, die sagen, oh, Amerikanische Anbieter geht nicht.
[SPEAKER_01]: Wer das auch wahrscheinlich meine Empfehlung, das zu nutzen. [SPEAKER_01]: Das kann man einen kleinen Plan starten. [SPEAKER_01]: Das funktioniert auch. [SPEAKER_01]: Und man muss sich nicht mit tausend Dingen beschäftigen. [SPEAKER_03]: Und an die Arbeit hat auch in einem anderen Team. [SPEAKER_03]: Also da ist nicht verantwortlich. [SPEAKER_03]: Die Dorseyer könnt dieses Service nutzen. [SPEAKER_02]: Ja, ich habe davon, muss ich zugeben, gar keine Ahnung.
[SPEAKER_02]: Es sind irgendwelche Unglaublichsmaten, Leute, die haben weit mehr auf dem Kassner sich. [SPEAKER_02]: Du hast schon recht, wenn du da jetzt deine Führerscheinplattform auf den Hetznerkiste machst, dann monitierst. [SPEAKER_02]: Monitierst du deine Paketgrößer natürlich nicht, aber wenn du jetzt deine Netzwerk Infrastruktur selbst unter der Kontrolle hast, [SPEAKER_02]: Dann würde ich mal sagen, jeder moderne Switch oder Router oder Eros gibt, die diese Metrik mit raus.
[SPEAKER_02]: Und dann bist du auch ein Dashboard da haben, weil natürlich den Traffic Inflo über welche Nix reinkommt und wo was rausgeht und so weiter. [SPEAKER_02]: Und da bist du auch Passentiler haben über die verschiedenen Paketgrüßen. [SPEAKER_02]: Ja, also ich glaube einfach nur, dass das, ich sag mal in Leuten, die eigene Kulos betreiben. [SPEAKER_02]: Kulos sind, ich sag mal Räume oder Suppräume in Data Center.
[SPEAKER_02]: Weil die seltschsten Firmen große Data Center betreiben sollen sie einfach irgendwo einmieten, dass die das dann schon schon maintainen und auch Monitoren. [SPEAKER_01]: Genau, es ist ein Anbieter kuckt, aber es gibt viele Anbieter, die machen dann einen Hartenkat irgendwo. [SPEAKER_01]: Die sagen dann, du hast aber auf hunderttausend Pakete in der Sekunde auf deiner Engeger-Bitleitung.
[SPEAKER_01]: Rechnere Schgehen da natürlich noch mehr, aber dann sagen die, dass sie irgendwie komischen Verdächtig aus. [SPEAKER_01]: Schnipp, wir schalten dich mal ab, weil wir dem Netzwerk insgesamt nicht schaden wollen. [SPEAKER_01]: Also man muss da auch in der Regel, weil so ein anfingstrichen Bildig holster, dann noch was dazu kaufen. [SPEAKER_01]: Die haben dann ein Diederschutz als extra Leistung. [SPEAKER_03]: Aber was macht man jetzt?
[SPEAKER_03]: Jetzt bekommst du einen Lörd, hast ein riesen Angriff, bis unter eine Dietosadakhe, was machst du dann? [SPEAKER_03]: Er ist probiert zu Seite schnell. [SPEAKER_01]: Das kommt sehr auf die Diedersattacke an. [SPEAKER_01]: Und wo genau ich das gerade betreibe. [SPEAKER_01]: Wenn ich jetzt her meine eigene Netzwerkes bin und es haben wir wirklich zwei mal hundred Gigabitare, wo da sogar noch mehr Bandbreite, dann kann ich ja schon verdammt viel ausfiltern, unaktiv zu werden.
[SPEAKER_01]: Die Frage ist halt immer, was genau trifft ist. [SPEAKER_01]: Wenn es jetzt nimmer als Beispiel meine Anwendung ist betroffen, ich habe noch Treffek frei, ich sag mal mal, der Angriff macht jetzt zwanzig Gigabit, auch da habe ich ja nach oben noch die Keplats. [SPEAKER_01]: Dann muss ich halt gucken, wo hagt's denn in meine Anwendung? [SPEAKER_01]: Hab ich vielleicht, [SPEAKER_01]: Und in Kunden, der einfach zu wenig Kapazität gekauft hat.
[SPEAKER_01]: Oder ist das ein Kunde, der hat ein Horizontal Port Autos Gala, da fährt einfach alles hoch, bis zum gewissen Limit und ist dann vielleicht meine gesamte Plattform überlastet. [SPEAKER_01]: Der eine Kunde frisst alle Ressourcen meiner Plattform auf. [SPEAKER_01]: auch nicht so gut, dann müsste man gucken, was man Unternehmen möchte, möchte ich jetzt meine restlichen Kunden schützen, wie kann ich diesen einen Kunden online halten, woran genau liegt sie jetzt.
[SPEAKER_01]: Vielleicht wird eine Suchfunktion permanent ausgeführt, die zu für Ressourcen verursacht oder zu für Ressourcen aufrüst, das kann ganz unterschiedlich sein, was dann letztendlich ist. [SPEAKER_02]: Aber das klinkt ja schon irgendwie auch noch ein bisschen nach viel Konfiguration. [SPEAKER_02]: Jetzt machen wir angenommen, du hast jetzt eine Plattform. [SPEAKER_02]: Da sind fünf Kunden drauf und du hast jetzt gerade so ein Auto-Skeller genannt.
[SPEAKER_02]: Dann wurde der Auto-Skeller für den Kunden ja falsch konfiguriert. [SPEAKER_02]: Weil dann wurde ja unter anderem gesagt, okay, der kann die ganze Plattform einnehmen. [SPEAKER_02]: Was dann dann wieder rum, wir nügen eine Art und Weise so neu sie Neberproblem auf der Cloud sein könnte, oder? [SPEAKER_01]: Genau, genau. [SPEAKER_01]: Da muss man natürlich aufpassen. [SPEAKER_01]: Es gibt halt gewisse Clouds die Overcomitten natürlich. [SPEAKER_01]: Es ist ja ein bisschen das Model.
[SPEAKER_03]: Jetzt bin ich ja so da der klassische Entwickler, was das gar nicht sagen an die, oder Architektur, Mensch in weitesten Sinne. [SPEAKER_03]: Jetzt habe ich gehört, okay, das machen die Leute die Netzwerke betreiben und data sind und so weiter. [SPEAKER_03]: Das heißt, ich kann mich ja eigentlich davon wegdrehen und sagen, es machen andere dieses Problem, ich brauche mir um nichts kümmern.
[SPEAKER_03]: Stimmt es, kann ich mir da rausnehmen auf dein Entwicklerseite oder gibt Sachen, die ich als Entwickler auch beachten muss oder irgendwie positiv auch beenden? [SPEAKER_03]: Also ich hoffe nicht, nicht negativ, sondern eben positiv beinflussen kann. [SPEAKER_01]: Ja, leider mit dem schlechten Rechnen, was dann da kommen kann.
[SPEAKER_01]: Also wenn man Suchfunktionen baut, immer damit rechnen, dass da jede Menge Schrott gegengeworfen wird, nicht nur die da aus Attaken, sondern auch alles mögliche an Infotualidierungstests durch Angreifer, die das einfach ausnutzen wollen. [SPEAKER_01]: Im Grunde alles so bauen, dass es nach externen irgendwie ein gewisses Rate limit auch hat. [SPEAKER_01]: Beispiel Kontaktformular, es gibt so Fälle, weil eine Firma jemandem verärgert hat.
[SPEAKER_01]: gibt es dann da plötzlich hunderttausend Fans, die auf dem Kontakt vom Ula losgehen und das Kontakt vom Ula ausfüllen. [SPEAKER_01]: Die schreiben dann da was rein, da habe ich meine distributete NL of Service Attacke, weil ich da alle PDF anhängen oder irgendwelte von dem stinkefinger, da habe ich nachher auch ein Problem letztendlich. [SPEAKER_01]: mit so was muss ich halt irgendwie umgehen können.
[SPEAKER_01]: Also ich sag mal, ich hab plötzlich ungefähr nicht viele Request auf mein Kontaktformular. [SPEAKER_01]: Dann hab ich idealerweise in der Applikation irgendein Schalter drin. [SPEAKER_01]: Der sagt, hey, ich hab jetzt in einer Minute, tausend emails bekommen über das Formular. [SPEAKER_01]: Jetzt pausier ich das mal und machen exponentische Back-Off und schaltet es immer mal wieder kurz online. [SPEAKER_01]: Oh, es kommt immer noch so viel schrotzt, dann wart ich mal länger.
[SPEAKER_01]: Ja, oder ich baue komplizierte Reffekation der User-Hine. [SPEAKER_01]: Vielleicht mache ich einfach ein Keptcha aktiviert, wenn da viel kommt. [SPEAKER_01]: Oder es aktiviert weiß ich nicht. [SPEAKER_01]: So was wie ein Google ist, was dann prüft ist. [SPEAKER_01]: Er ist ja gerade ein AI-Crawler, der irgendwas komisches macht auf meiner Webseite.
[SPEAKER_01]: Also, so ein wirklich fietschers reduzieren, der Webseite würde ich als Entwickler favorisieren, einfach um meine Beckent laut gering zu halten. [SPEAKER_01]: Du wirst jetzt lachen. [SPEAKER_02]: Ich habe Karten für die Totenhosen kaufen wollen. [SPEAKER_02]: Wer schon mal so was mitbekommen hat, das ist wirklich ein Run auf die Karten, ähnlich wie Ramstein, Peruca Will und Timorollen und Wiese aller heißen.
[SPEAKER_02]: Und in dem Shop werden zwei Stunden vorher, kann es so nicht mehr deine Bestellübersicht über vorherige Bestellung abrufen. [SPEAKER_02]: So fietschers schalten die aus. [SPEAKER_02]: weil die Scheiten alles aus, was nicht zum Kaufmheim des Tickets notwendig ist. [SPEAKER_01]: Da kann man natürlich gut mit Fischerflecks arbeiten. [SPEAKER_01]: Idealerweise hat dynamisch. [SPEAKER_01]: Du kannst natürlich auch gucken, wie es die Lot in meiner Plattform.
[SPEAKER_01]: Wenn ihr unter einem gewissen Level ist, ermöglicht ich das noch. [SPEAKER_01]: Warum soll ich dann nicht erlauben? [SPEAKER_01]: Könnt ich auch so argumentieren. [SPEAKER_01]: Solange ich ressourcen, hab ich euch aus, wenn sie knapper wären, dann stopp ich damit immer einfach. [SPEAKER_02]: Jetzt ist es ja so, wenn du zur Primetime bei Pro sieben TV-Werkenschalt ist. [SPEAKER_02]: Dann kann das schon mal ganz schön, was auf deiner Webseite los sein.
[SPEAKER_02]: Weil noch echt viele Leute TV-Werkungen bei Pro sieben gucken, oder vielleicht auch bei zukünftig bei Netflix oder ähnliches. [SPEAKER_02]: Auf jeden Fall kommen dann auch ganz viele Anfragen von unterschiedlichen Zursalpies.
[SPEAKER_02]: Du wirst schon, wo du hoffe ich hinaus möchte, wie unterscheide ich denn eine Distributed-Dineel auf Serviceattacke, wo ganz viel Treffek reinkommt, von Schabegrade Werbung zur Primetime geschaltet, wo ich einfach nur in sehr gutes Angebot habe und ganz viel reale User kommt drauf. [SPEAKER_03]: Oder schaltet du dann wirklich, dass im Feun ein ab, die die das Erkennung insumfallen.
[SPEAKER_01]: Nee, ausschalten nicht, weil es könnte sich auch jemand durch den Werbesport geärgert fühlen oder da ist was sexistisch drin. [SPEAKER_01]: Vielleicht hat die Seite es dann auch verdient, man abgeschossen zu werden. [SPEAKER_01]: Was da Seite aber abschalten auf keinen Fall, weil ich hab da irgendwie einen Online-Shop ist, kann ja auch ein Konkurrent da sein, der mir schaden will.
[SPEAKER_01]: In so einem Fall würde man irgendwas Idealerweise auf Layer seven in der Applikation vielleicht oder in dem vorgelagerten System von Adidas abwehr oder sonst wie [SPEAKER_01]: eingebaut haben, um echt die User zu erkennen. [SPEAKER_01]: Es gibt ja so verschiedene Techniken dafür. [SPEAKER_01]: So ein Keptcheiß, das was jeder natürlich kennt.
[SPEAKER_01]: Gugel arbeitet auch oder auch Klautflär an Tönstdeil heißt das glaube ich, dass man halt nicht mehr so wirklich Buchstaben eintippen muss, weil das nicht barriere frei ist. [SPEAKER_01]: Aber ebenso eine Mensch oder Boterkennung ist da auf jeden Fall dann immer sinnvoll. [SPEAKER_01]: Und natürlich tämbliche Teams vorher informieren. [SPEAKER_01]: Man kann das immer mal wieder erleben, wenn sowas halt nicht passiert, dann ist plötzlich ein großer Traffic Spike da.
[SPEAKER_01]: Aufgeriegte Leute untersuchen sehr hektisch, irgendwie Dashboards und gucken, was da los ist, rufen den Projektleiter an, der hat dann einfach nur vergessen, Bescheid zu sagen, so was ist natürlich ärgallig, klar, das Team vorher informieren, ne? [SPEAKER_01]: Wenn man genau weiß, welche Minute der Werbesport hat, wenn man ja auch seine Ressourcen wahrscheinlich hochfahren für die Zeit. [SPEAKER_02]: Ihr werbes Wort ist, weil es einfach nur das plakaktiv zu beispielen.
[SPEAKER_02]: Während du gesprochen hast, sind wir auch noch zwei andere Beispiele eingefallen, zum Beispiel die Webseite vom Wattikanen, wenn es wieder neu ein paar pbs gewählt wird. [SPEAKER_02]: Das ist ja ein Welt-Erreignismus. [SPEAKER_02]: Oder was auch ein Welt-Erreignis ist, ein neues Update von Fortnite wird ausgespielt. [SPEAKER_02]: Also ich meinte, besonders wenn man abdätst durch die Leitung schieb von so spielen, da gehen ja schon mal ein paar Terabeiterer mit durch die Leitung.
[SPEAKER_02]: Und weil ich schon von Terabeiterer mit durch die Leitung spreche, freue ich mich gerade, inwieweit spielt den Infrastruktur, die sein oder Infrastruktur. [SPEAKER_02]: Eine Rolle und was kann Leute dev ops Cloud-Engineers denn machen um zum Beispiel die Amazon-Rechnung. [SPEAKER_02]: Gering zu halten. [SPEAKER_02]: Ich hoffe, ihr habt alle Budget-Caps drin oder ähnliches oder Budget-Alarms. [SPEAKER_02]: Das ist so das Mindeste, was man machen kann.
[SPEAKER_02]: Aber zurück zur Infrastruktur, was kann man auf Infrastrukturseite den Smart machen? [SPEAKER_01]: Ich würde mal gucken, dass ich ein Anbieter da vorhab, wo mich der Traffic nicht ex-Obitant viel Geld kostet. [SPEAKER_01]: Es gibt einige Anbieter. [SPEAKER_01]: Da ist der Traffic einfach inklusive, weil der Diedos abwehr ist. [SPEAKER_01]: Es gibt andere Anbieter.
[SPEAKER_01]: Ich glaube aber erst, wo man dann selbst, wenn man deren Diedos schutz einkauft, [SPEAKER_01]: Trotzdem auch noch dafür bezahlen. [SPEAKER_01]: Das kann dann halt sehr schnell sehr teuer werden. [SPEAKER_01]: Ich persönlich kein Fälle, also nicht bei uns in der Firma, weil wir machen ja eigentlich nichts mit Clouds, sondern nur ganz viel und Prem, aber woanders, wo dann halt sechs stellige Beträge aufschlagen für Traffic Kosten, für eine relativ kurz Attacke.
[SPEAKER_01]: Also dafür sorgen, dass der Traffic oder dass die Attacke an sich möglichst keine Kosten hat, die dann entstehen. [SPEAKER_01]: Anderes Beispiel Dennis, [SPEAKER_01]: Einfach dadurch, dass super viele Bots auf die Webseite gehen und immer wieder eine DNS-Anfragen stellen. [SPEAKER_01]: Es können innerhalb von Minuten mehrere zehn Millionen, mehrere Dutzend Millionen sein. [SPEAKER_01]: Dadurch können halt auch bei so einem Ennecast-Proveider total krasse Kosten entstehen.
[SPEAKER_01]: Das ist ein Punkt, wo man einfach darauf achten muss. [SPEAKER_01]: finanzielle Absicherung, deiner Dienstleistung, die du hast, oder wenn du einen Kunden hast, der die das Schutz beauftragt, irgendwo sicher stellen, dass man eine gewisse Limitierung drin hat, oder wenn der angerefärzten Monat am Stück läuft, permanent aufvollen Turen, dass man dann noch mal über den Vertrach sprechen kann zum Beispiel.
[SPEAKER_01]: Also in beide Seiten gucken, dass man vorne keine Kosten hat, aber auch gucken, dass man vielleicht, wenn welche entstehen die nach hinten zum betroffenen Kunden weitergeben kann. [SPEAKER_02]: Du hast gerade auch Services erwähnt, CloudFlare, Akamai und Alonohundran und dann hast du auch gesagt, on premise. [SPEAKER_02]: Wie macht ihr das denn?
[SPEAKER_02]: Weil, habt ihr die komplette Sache selbst entwickelt oder gibt es auch Services, die man da einkaufen kann und on premise hosting kann? [SPEAKER_02]: Weil so eine Diedos Protection basiert ja auch auf ganz vielen Daten um die ganze Sache zu erkennen. [SPEAKER_02]: Er vielleicht hängt welche, vielleicht gibt es auch eine botnetfingerprint, so wie es ein browserfingerprint in JavaScript oder ähnliches.
[SPEAKER_02]: Also Punkt ist, das sind ja nicht so wie Antivieren zur Welt, die dann immer neue Abdez haben müssen. [SPEAKER_02]: Und Prämism müssen man jedenfalls einspielen, so weiter wie macht ihr das, denn wenn ihr jetzt nicht auf irgendwelche Cloud oder laubringkarnischen Proveider zurückgreift. [SPEAKER_01]: Also bei uns, was so die Story beginnt mit einem Fail könnte man sagen. [SPEAKER_01]: Zwei-Tausend-Fuftzeln waren wir selber Ziel von Cyberbeerkut, also nur Russischer Akteur.
[SPEAKER_01]: Und unsere Kunden, die angegriffen wurden, die wollten aber kein Dieterschutz beauftragen. [SPEAKER_01]: Also es war halt einfach nicht in der Leistungsbeschreibung, wir haben über Ausschreibung Dinge gewonnen. [SPEAKER_01]: Dann hat man vielleicht mal nachgefragt, wollte ihr das beauftragen. [SPEAKER_01]: Nö, muss ja nicht sein. [SPEAKER_01]: Es gibt auch keine Ausfälle. [SPEAKER_01]: Dann wird erst mal nix gemacht. [SPEAKER_01]: Dann kommt zum riesen großen Ausfall.
[SPEAKER_01]: Die Seite war dann auch ein halben Tag offline quasi. [SPEAKER_01]: Also Bundestag, die E-Konkret war betroffen zum Beispiel. [SPEAKER_01]: Und dann über Lichtmann sich halt, was möchte man machen. [SPEAKER_01]: Man kann natürlich mal kurzzeitig Cloudfläher vorschalten, man kann natürlich oder Akkame oder sonst wehnen. [SPEAKER_01]: Dein stehen halt dann aber auch gewisse Kosten und dieses Datensoverinitätstema ist hier halt natürlich ein sehr großes.
[SPEAKER_01]: Das heißt, man will dann niemand vorhaben, das heißt, man muss erst mal einen größeren Investätigen. [SPEAKER_01]: Wir hatten eh schon ein eigenes RS, die Planung war sowieso, dass wir selber Videopie machen und dann geht man halt hin und muss gucken wie die Seintmann das. [SPEAKER_01]: Als das der Fall war, waren die Attakten auch noch anders, die waren auch in Teil noch gar nicht so groß. [SPEAKER_01]: So, dass wir dann noch einen Saichter in Einstieg hatten in diese ganze Welt.
[SPEAKER_01]: Heute Tage glaube ich nicht, dass das so einfach noch macht war, wäre ohne das ganze noch hohe, was man mit der Zeit gesammelt hat. [SPEAKER_01]: Also wirklich ein Prozess der kontinuulichen Verbesserung, wenn man wirklich einen Ausfall hat, durch eine Attacke da muss man gucken, kann ich das irgendwie kategorisch wegfiltern. [SPEAKER_01]: Wofür brauche ich UDP traffic auf meinem Websehrer.
[SPEAKER_01]: Ja, das sind dann irgendwann solche Learnings, die man da natürlich dann auch hat. [SPEAKER_01]: Und das gesammelt in Norho, er gibt dann halt zu den ganzen verschiedenen Bereichen zu denen man was gelernt hat, er gibt dann halt so ein ganzes Verschiene Systeme, die miteinander interagieren, miteinander sprechen und auf allen möglichen Verschienen lernen, muss man halt auch irgendwas tun, um die Angriffe automatisiert abzuhören.
[SPEAKER_01]: Also ganz Arbeitsintensiv ist fällt tatsächlich auch. [SPEAKER_01]: Heute Tage wird man wahrscheinlich gucken, dass man mit seinem Abspiel möglichst viel zusammenarbeitet. [SPEAKER_01]: Ja, wenn man weiß nicht, es gibt manche Anbieter. [SPEAKER_01]: Die haben schon ein Scrubbing Center selber schon, die leiten den Traffic der Transparent hin um. [SPEAKER_01]: und filtern dann da sozusagen in auf ihren Servern.
[SPEAKER_01]: Die können vielleicht auch gewisse Lehr-Siebenabbergeschichten machen. [SPEAKER_01]: Das ist halt dann wieder so eine vertragliche Sache. [SPEAKER_01]: Es ist das ein amerikanischer Anbieter, gilt da der Cloud-Ekt, dürften die oder müssten die, wenn die gezogen werden in den Schiffe rein gucken, da ist der Antwort bei jedem amerikanischen Anbieter ja. [SPEAKER_01]: Und wenn man die hat nicht möchte, dann muss man selberagt.
[SPEAKER_02]: Jetzt stelle ich mir die Frage, okay, es kommen immer wieder neue Produkolle auf dem Markt. [SPEAKER_02]: Ja, hatet Peter Reik, Quik und allem drum und ran. [SPEAKER_02]: Was ist denn Quik? [SPEAKER_02]: Hatte der B-Trei? [SPEAKER_02]: Es sagt mir noch, was Quik? [SPEAKER_02]: Wenn ich das jetzt aufmache, das Thema. [SPEAKER_02]: Du bist ja ein Profil. [SPEAKER_02]: Du kannst mir wohl was in einem Satz beschreiben. [SPEAKER_02]: Das bin ich jetzt gerade nicht in der Lage.
[SPEAKER_02]: Quick ist, glaube ich, auch ein HTDP Webformat unem Momento. [SPEAKER_02]: Komm, jetzt machen wir eben hier Quick bei Google rein. [SPEAKER_02]: Quick, UDP, Internet-Connect. [SPEAKER_02]: Ist ein Transportprotokoll, das entwickelt wurde um die Leistung von Webanwendung zu verbessern. [SPEAKER_02]: So, herzlichen Glückwunsch. [SPEAKER_03]: Ja, schwache Verbereitung sieht man schon. [SPEAKER_02]: Für Leute, die nicht das Quake net kennen, ja, mit den Redigen nicht.
[SPEAKER_02]: Ich frem mich gerade, okay, wie so füssigetet werden die Angriffe noch und was siehst du? [SPEAKER_02]: Wir gucken jetzt in deine Glaskugestäfern. [SPEAKER_02]: Was sagst du hervor, wenn es um die Zukunft geht? [SPEAKER_01]: Also man sieht in den letzten Jahren schon, dass die Angriffe eine neure Qualität haben oder bessere Qualität. [SPEAKER_01]: Auch die komplexer die Protokole werden, wenn sowas kommt die Quick RTTP-Drei.
[SPEAKER_01]: Aber auch bei RTTP-Zweis sieht man das immer neue Angriffsarten kommen. [SPEAKER_01]: Es gab zum Beispiel die Rapid Resetattacke. [SPEAKER_01]: davon gibt es jetzt auch eine neue Variante, die ein bisschen anders funktioniert. [SPEAKER_01]: Also es werden schon angeres Variationen auch ausprobiert durch verschiedene Akteure. [SPEAKER_03]: Canceli Rapid Reset in einem Sutter klären.
[SPEAKER_01]: Vahatitipy II ist sehr ein bisschen anderes Modell wie die Connections passieren, das wird gemultiplext. [SPEAKER_01]: Man schickt ganz viele Anfragen dahin, sozusagen in so einem multiplex Ding und beendet die aber auch ganz ganz kurz dahinter im selben Stream. [SPEAKER_01]: Und der Server versucht dann halt aber, ich sag mal, hundertmal die die normische Suche aufzurufen, während der Kleint der war eigentlich schon, wenn der tat diese Anfrage.
¶ Wie entwickeln sich die DDoS-Angriffe in der Zukunft?
[SPEAKER_01]: Und das erzeugt dann halt auf der Server Seite ziemlich viel Last. [SPEAKER_03]: Also es ist schon dieses Pattern frühzeitig abzuschalten oder frühzeitig mehr Verbindung aufzugeben. [SPEAKER_03]: Ist ein komment Pattern, was überall vorkommen. [SPEAKER_03]: Genau. [SPEAKER_02]: Stefan, wir sind am Ende. [SPEAKER_02]: Wir sind nicht am Ende des Temas. [SPEAKER_02]: Wir haben es bei weitem nicht geschafft den kompletten Kontett eines Buchos wiederzugeben.
[SPEAKER_02]: Das lassen wir nämlich als Hausaufgabe für die fleißigen Leserinnen und Leser und Hörinnen und Hörern. [SPEAKER_02]: Das Buch von Stefan findet ihr in den schonen uns. [SPEAKER_02]: Da könnt ihr das bestellen, da könnt ihr das kaufen. [SPEAKER_02]: Lass den Mioen manche, da auch mal ein paar Euro da, der sehr viel Arbeit in ihre Schärche bestätgt.
[SPEAKER_02]: Und ja, ihr habt jetzt gerade so, kann man schon sagen, in den Ausschnitt bekommen, vielleicht gerade eine kleine Introduction. [SPEAKER_02]: Ich hab sehr, sehr viel gelernt, unter anderem das Attacken-Elegant sein können. [SPEAKER_02]: Das bleibt mir wirklich in Kopf auch qualitativ. [SPEAKER_02]: Wie du gesagt hast, dass die Zukunft sie waren qualitativ. [SPEAKER_01]: Es ist immer sehr positiv. [SPEAKER_01]: Ich glaube, man sieht schon, dass sie sich mühe geben.
[SPEAKER_01]: Auch mal wirklich den Webser war Code lesen, also schon besser geworden. [SPEAKER_02]: Als Bonus dieser Episoden nehme ich mit, der Wolfgang hat keiner Anhörung von Quakenet und von ihr jetzt hier im generellen IRCnet, war mein Töff. [SPEAKER_02]: Und ja, was soll ich sagen? [SPEAKER_02]: Was ist dein letzter Satz? [SPEAKER_02]: Sein letzter Tipp an unsere Hörun und Herr Rachschäfern?
[SPEAKER_01]: Mein letzter Tipp ist Scharmlose Eigenwerbung, gibt nämlich die Diedosbündestrichttests dort kommen. [SPEAKER_01]: Wenn immer selber Lust haben, ein bisschen rumzuspielen, gibt mal eure Webseite ein und guckt mal, wie die sich so in der Attacke machen würde. [SPEAKER_01]: Es sind natürlich keine, da wird tatsächlich keine richtige Attacke ausgeführt, sondern es wird halt nach Parameter geguckt. [SPEAKER_01]: Z.B. [SPEAKER_01]: wird in den Low-Enz-Lore-Takka-Aushalten oder nicht.
[SPEAKER_01]: Und solche Dinge, also wer sich fürs Thema interessiert, hat da vielleicht einen guten Einstiegspunkt für interessante Dinge, die man recherchieren sollte oder sie natürlich. [SPEAKER_03]: So wie probieren wir jetzt gleich mal live aus, an die gibt unsere Engineering-Kiosk-Website, die von Natalie Feigehostet ist. [SPEAKER_03]: Wie fehlt grüne Heckchen und Trotex bekommen wir?
[SPEAKER_02]: Ja, so die Low-In-Zloher-Tacke zum Beispiel, da sind wir jetzt nicht anfällig für, weil anscheinend Netlify oder Amazon die TZP-Connectressen nach fünf Sekunden schon mal schließt. [SPEAKER_02]: Das passt. [SPEAKER_02]: Das ist genau so wie stehende TZP-Connections werden, über hat der TPP-Gett nach drei Sekunden geschlossen. [SPEAKER_02]: Das passt auch. [SPEAKER_02]: Ist auf jeden Fall ein Haken hier in dieser Sache.
[SPEAKER_03]: Okay, das sind aber bei Rotter X, was ich das sehe. [SPEAKER_02]: Ja, und zwar sagt der, dass das System, Konnexions auf Port über tausend-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren-S-Viren
[SPEAKER_01]: Es ist die Kleinzeite, der normaler Klein-Dendo hast, der öffnet porzen an bestimmten Range in der Betriebssystem, um auf die Webseite zuzugreifen und der Zugriff verhält sich aber nicht so wie normaler Klein. [SPEAKER_01]: Also es ist schon auffällig und das kann man präventiv auch blockieren. [SPEAKER_02]: Aber generell kriegen wir die Note A-- das ist glaube ich gar nicht so schlecht.
[SPEAKER_03]: Ich werde es mal dabei gelingen, hat probieren von einem meiner Projekt, die ich selber haust. [SPEAKER_03]: Das wird dann schlimmer aussehen. [SPEAKER_02]: Wer mehr zu dem Thema wissen möchte, dass Diedos Buch vom Stefan findet ihr unter Diedosbindestrichbook.com. [SPEAKER_02]: Vielen Dank, Stefan. [SPEAKER_02]: Und natürlich hinschauen wir uns. [SPEAKER_02]: Ansonsten würde ich sagen, vielen Dank, Stefan für deine Zeit. [SPEAKER_03]: Und vielen Leben, danke für die Einladung.
[SPEAKER_03]: Weil haben vielleicht alles gehört, aber wir sitzen jetzt wirklich physikalisch zusammen, zu dritt und es passiert relativ selten hier in Düsseldorf. [SPEAKER_01]: Schön dass das geplant hat und vielen Dank euch auch. [SPEAKER_03]: Bye-bye. [SPEAKER_03]: Ciao.