Wie man die ganze Welt dazu bringt, Missbrauchsmeldungen an deinen besten Freund zu schicken

 (delroth.net)
1 Punkte von GN⁺ 2024-10-30 | 1 Kommentare | Auf WhatsApp teilen

Einleitung

  • Dieser Artikel behandelt persönliche Erfahrungen im Zusammenhang mit Sicherheit, Networking und Missbrauchsmeldungen.
  • Der Autor erhielt eine Meldung, dass sein Server mit Malware infiziert sei, stellte bei der Untersuchung jedoch fest, dass kein Problem vorlag.

Auslöser des Vorfalls

  • Der Autor erhielt von Hetzner eine E-Mail, dass für seine IP-Adresse eine Missbrauchsmeldung eingegangen sei.
  • Auf dem Server wurden ungewöhnliche SSH-Verbindungsversuche festgestellt, tatsächlich wurden jedoch keine Verbindungen vom Server nach außen aufgebaut, sondern von außen an den Server gerichtete TCP-Reset-Pakete gesendet.

IP-Spoofing

  • IP-Spoofing im Internet bezeichnet das Versenden von Paketen mit gefälschter Quell-IP-Adresse.
  • BCP38 empfiehlt, bei der Weiterleitung von IP-Paketen zwischen Netzwerken nur die erwarteten IP-Adressen zuzulassen, aber nicht alle Netzwerke halten sich daran.

Vermutetes Motiv

  • Der Angreifer sendet Verbindungsanfragen an Port 22 mit gefälschter Quell-IP, wodurch automatisierte Missbrauchsmeldungen ausgelöst werden.
  • Möglicherweise handelt es sich um einen Angriff auf bestimmte Knoten im Tor-Netzwerk.

Verbindung zu Tor

  • Tor-Relays dienen dazu, anonymisierten Traffic weiterzuleiten, und sind nicht direkt mit dem öffentlichen Internet verbunden.
  • Einige Internetnutzer mögen Tor jedoch nicht und könnten versuchen, es zu deaktivieren.

Fazit

  • Das Internet hatte schon vor 25 Jahren Probleme und hat sie noch immer.
  • IP-Spoofing ist weiterhin ein Problem, und Sicherheitsregeln wie BCP38 werden nicht konsequent umgesetzt.
  • Wenn man solche Missbrauchsmeldungen erhält, weiß man nun, wie man dem Hosting-Anbieter erklären kann, dass der Server das Opfer ist.

# GN⁺-Zusammenfassung

  • Dieser Artikel behandelt ein Sicherheitsproblem im Zusammenhang mit IP-Spoofing und erklärt die Verbindung zum Tor-Netzwerk.
  • Er betont die Bedeutung von Internetsicherheit und die Notwendigkeit von BCP38.
  • Als Projekte mit ähnlicher Funktionalität könnten verschiedene Sicherheits- und Netzwerktools empfohlen werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-10-30
Hacker-News-Kommentar

  • Das Problem mit IP-Spoofing ist schwer zu lösen, weil böswillige Akteure und unschuldige Nutzer dieselbe Ausrede verwenden können

    • Das Internet hat dieses Problem seit 25 Jahren, und es ist noch immer ungelöst
    • Das Problem gefälschter IP-Adressen existiert auch 2024 weiterhin, und die Internet-Community setzt keine Sicherheitsregeln durch, um es zu lösen

  • In der Vergangenheit wurden grundlegende Firewall-Regeln implementiert, doch durch gespoofte Pakete traten Probleme auf

    • Es wurden gespoofte Pakete von einer bestimmten IP empfangen, und zur Behebung wurden die Firewall-Regeln angepasst
    • Es ist wichtig, mehrere IP-Adressen zu betreiben; wenn der ISP quellenbasiertes Filtering einsetzt, wechselt man zu einem anderen ISP

  • Wenn man einen Transit-Provider findet, der kein BCP38-Filtering durchführt, kann man Pakete mit jeder gewünschten Quell-IP senden

    • Der Ursprung von BCP38 reicht bis 1998 zurück, aber es gibt noch immer Netzbetreiber, die es nicht implementieren
    • Um Spoofing zu verhindern, ist es nötig, den Traffic aller AS abzulehnen, die BCP38 nicht implementieren

  • Die Theorie von jemandem, der Tor-Relays nicht mag, scheint keinen Wert zu haben

    • Es könnte ein Versuch sein, ein bösartiges Relay zu betreiben und zugleich legitime Relays zu entfernen

  • Ähnlich wie beim Swatting beruht das Problem darauf, dass Behörden wegen einer unbestätigten Problemquelle ernste Maßnahmen ergreifen

    • Der Unterschied ist, dass die Beschwerde über eine unbeteiligte Partei eingereicht wird

  • In der Vergangenheit wurden DrDoS-Reflektoren gescannt, und Cloud-Provider erhielten große Mengen an Beschwerden

    • Server, die gespoofte Scan-Pakete senden, werden nicht entdeckt und können das Internet wiederholt scannen
    • Es ist möglich, die Herkunft gespoofter Pakete zurückzuverfolgen, aber dafür ist die Zusammenarbeit mit dem Transit-Provider nötig

  • Das System sollte Missbrauch nicht automatisch aufgrund eines einzelnen Pakets melden, sondern nur bei Traffic im Umfang eines Denial-of-Service

    • Bei SSH ist es kein gültiger Verbindungsversuch, bevor der Handshake stattgefunden hat

  • IP-Spoofing ist ein ähnliches Problem wie Swatting, Patenttrolling und das Anschwärzen unschuldiger Menschen

    • Dabei werden Mechanismen zum Missbrauchsschutz als Waffe eingesetzt, um Ziele anzugreifen, die man nicht mag
    • Behörden können zum Schwachpunkt werden und von böswilligen Akteuren als Waffe missbraucht werden

  • Wenn man den Angriff kapert und an alle Pakete sendet, kann der Provider mit Abuse-E-Mails überflutet werden, sodass der Angriff nicht mehr funktioniert

    • Ein Honeypot könnte keine Abuse-E-Mails senden, oder der Provider könnte sie filtern