DDOS-Attacken und das riesige Botnetz

[www.rekorn.de]

Es gibt auf der Welt riesige Bot-Netze, die mehr oder minder durch gekaperte Rechner bestehen, d.h. der Nutzer weiß nicht, dass sein Rechner infiziert ist.
Um Besitzer des Rechners zu warnen und das Bot-Netz lahmzulegen könnten doch mal die Provider mithelfen.

Meine Idee dazu ist, dass das Opfer, das Hunderte von Anfragen in sehr kurzer Zeit bekommt (schneller als jmd die F5-Taste drücken kann) die IP des Angreifers inkl. Protokoll - wann angegriffen wurde - zu einer Sammelstelle schickt und diese den dazugehörigen Provider informiert, dass die entsprechende IP-Adresse für kriminelle Aktionen benutzt wird (Datenschutz ist ja weiterhin gegeben). Der Provider sperrt den User vom Internet, bzw. leitet ihn automatisch auf eine Seite, mit der Info, dass mindestens ein Rechner des Telefonanschlusses infiziert ist und die Person ein Captcha eingeben müssen um das Internet wieder zu entsperren.
Das würde nicht nur den Provider entlasten, sondern auch die Geschwindigkeit im gesamten Netz. Zudem werden DDOS-Attacken sofort von der jeweiligen IP unterbunden und das Opfer nach kurzen Angriff geschützt. Selbst wenn ein Script-Kiddie sich immer wieder händisch entperrt ist irgendwann die Lust weg. Weiterer Vorteil ist, dass der Admin/IP-Besitzer weiß, dass da er ein Rechner hat, der infiziert ist und für kriminelle Aktionen eingesetzt wird. Botnetze könnten so auch identifiziert und ausgehoben werden.

Gäbe es für so eine Lösung irgendwelche Nachteile?

[yoyo]

Sowas such ich auch.
Bei spam gibts sowas mit spamcop.net. Dort schickt man die bekommene SPAM hin und spamcop untersucht von welcher IP über welchen Mailserver die Mail eingeliefert wurde und welche URL in der spam erwähnt werden. An die entsprechenden Eigentümer wird dann eine abuse Mail geschickt.

Sowas suche ich für Atacken die gegen unsere/meine Server gefahren werden um diese zu übernehmen. Dabei wird versucht Sicherheitslücken auszunutzen oder gängige Passwörter werden durchprobiert. In den logs sehen wir sehr schön woher diese Angriffe kommen und wohin sie sich evtl. im Erfolgsfall wenden.

Jetzt hätte ich gern eine Instanz, an die ich den logfile Auszug schicken kann, die dann automatisch die IPs und deren Egentümer ermittelt und dann an diesen eine Info Mail schreibt, dass da Unfug mit seinem Rechner getrieben wird.

[ChristianB]

Da gibt es schon diverse Initiativen. Auch die Provider haben schonmal solche Aktionen gemacht. Ich habe auch mal eine Mail bekommen das an meinem Anschluss ein Virus detektiert wurde (was auch stimmte). Ich hatte den Virus aber schon beseitigt bevor die Mail antraf. Ich glaube es gab auch mal eine Aktion wo das BKA ein botnetz ausgehoben hat und die IPs an die Provider weitergegeben hat. Diese haben dann die Benutzer informiert. Die initiative heißt: https://www.botfrei.de/

Was die Angriffe auf eigene Server angeht da setze ich auf https://dshield.org/ (auch SANS Internet Storm Center) wo man Infos über Angriffe hinsenden kann und Infos zu IP Adressen bekommt (ob andere auch Angriffe gemeldet haben) oder auch Infos generell zur aktuellen Bedrohungslage (welche Ports sind gerade angesagt). Leider ist auch ein all-volunteer Projekt so dass bestimmte Tools nicht oder nur langsam weiterentwickelt werden (iDas 404-project finde ich sehr interessant). Da gibt es auch Skripte die automatisch eine abuse Mail raussenden. Ich habe aber die Erfahrung gemacht das das nichts bringt.