|
DDoS erkennen
|
|
29-06-2010, 01:08 PM
Beitrag #1
|
|||
|
|||
|
DDoS erkennen
Man kann über viele Methoden herausfinden um welche DDoS Art es sich handelt.
Ein einfaches Tool hierfür nennt sich iptraf. Mittels iptraf kann man sich detailiert den Netzwerktraffic anzeigen lassen. iptraf wird mittels folgendem Befehl installiert: Code: Debian: apt-get install iptraf(Installation kann je nach OS verschieden sein) Danach können wir iptraf aufrufen mit dem Befehl iptraf. So, also führen wir mal iptraf aus, wir geben folgendes in die Konsole ein Code: iptraf![[Bild: iptraf-1.png]](http://saved.im/mtc0mdu1nzzu/iptraf-1.png) Tipp: Einzelne Interfaces belauschen wir mit dem Befehl iptraf -i <interface>, also z.B. iptraf -i eth0. Wählen Sie nun “Detailed interface statistics” aus, danach das Interface. ![[Bild: iptraf2.png]](http://saved.im/mtc0mdu2axzy/iptraf2.png) Wir sehen nun, wie viele Pakete unseren Server gerade erreichen. Im Normalfall handelt es sich dabei um sehr wenige ICMP und UDP Pakete (je nach größe der Website). Sollten jedoch hunderte bzw. tausende IMCP u. UDP Pakete den Server erreichn, steht dieser zweifellos unter DDoS. Außerdem erkennen Sie weiter unten die Pakete/pro Sekunde und die Bandbreite, welche belegt wird. Im Falle einer DDoS-Attacke sind nicht unbedingt die mbit/s ausschlaggebend, sondern viel mehr die Pakete/sec. Denn wenn der Server die vielen einkommenden Pakete nicht verarbeiten kann, ist der Server nicht mehr erreichbar, sprichwörtlich “tot”. Bei einem VPS (Virtual Private Server) bekommen wir meistens nicht mehr als eine Fehlermeldung zu sehen oder iptraf findet nur das Loopback interface (lo). In diesem Fall ist es nötig ifconfig auszuführen, nun werden alle Networkinterfaces aufgelistet. Normalerweiße ist für dann venet0:0 wichtig. Also führen wir iptraf -i venet0:0 aus, sollte dies auch nicht funktionieren (Dieser Fall tritt sehr häufig ein), raten wir auf ein anders Netzwerktool auszuweichen. Copyright by Florian Reith [Anti-Hack.net] 10.10.10 Le roi est mort! Vive le roi! |
|||
|
|
11-01-2011, 02:39 PM
Beitrag #2
|
|||
|
|||
|
Re: DDoS erkennen
man könnte eventuell den Port verlegen, da die meisten angriffe von scripts ausgeführt werden, diese greifen meist den port 22 an, wen dieser nicht erreichbar ist geben sie meistens auf.
|
|||
|
|
|
11-01-2011, 03:08 PM
Beitrag #3
|
|||
|
|||
|
Re: DDoS erkennen
Das hat aber in diesem Sinne nichts mit DDoS zu tun.
10.10.10 Le roi est mort! Vive le roi! |
|||
|
|
|
11-01-2011, 03:10 PM
Beitrag #4
|
|||
|
|||
|
Re: DDoS erkennen
O.o Fail sry
|
|||
|
|
|
26-04-2011, 12:41 PM
Beitrag #5
|
|||
|
|||
Re: DDoS erkennen
Florian schrieb:Das hat aber in diesem Sinne nichts mit DDoS zu tun.Teilweise hat er aber auch recht. Man kann den SSH-Port gezielt DDoS´sen, sodass man nicht mehr in die Konsole kann und den DDoS stoppen/abwehren kann. In den meisten Fällen ist aber eine Serielle Konsole dabei, was die Arbeit leichter machen lässt :lol: |
|||
|
|
|
26-05-2011, 10:24 PM
Beitrag #6
|
|||
|
|||
|
Re: DDoS erkennen
sagt mir wenn ich an der falschen stelle schreibe aber wenns um UDP Flood geht denk ich schreib ich am besten mal hier laut den suchergebnissen...
kennt jemand einem möglichkeit sich gehen UDP Flood zu wehren? hier mal ein log auszug: Sat * 02:08:09 2011; UDP; eth0; 1500 bytes; from 62.153.***:59228 to ***:64558 Sat * 02:08:09 2011; UDP; eth0; 1500 bytes; from 62.153.*** to 78.46.***; fragment Sat * 02:08:09 2011; UDP; eth0; 1500 bytes; from 62.153.*** to 78.46.***; fragment Sat * 02:08:09 2011; UDP; eth0; 1500 bytes; from 62.153.*** to 78.46.***; fragment Sat * 02:08:09 2011; UDP; eth0; 1500 bytes; from 62.153.*** to 78.46.***; fragment die polizei hilft übrigens nicht bei IPs die nicht von der Dt. Telekom sind  nurmal so als info für die die noch keine erfahrung damit gemacht habn... also wie ich das sehe hat man 0 chance dagegen oder? denn UDP packete kommen doch ohne handschlag komplett an dh... selbst wenn die IP des angreifers gesperrt wurde werden ja die 1500 bytes max erstmal komplett gefressen bevor irgendwas passiert (iptables abgleich)... also da reichen 2 server (in meinem fall 3) die etwa die selbe bandbreite haben um meinen lahm zu legen... ist schon etwas nerfig... also wenn jemand einen vorschlag hat immer her damit... hab mal gehört das man den floodenden server automatisiert zurückflooden soll und hoffen das er abschmiert... aber is auch nicht grad die feine englische  danke gruß hannes |
|||
|
|
|
27-06-2011, 12:12 AM
Beitrag #7
|
|||
|
|||
|
Re: DDoS erkennen
kontaktiere deinen Hoster, die meisten können diesen direkt am Router abweisen.
Die große Stärke der Narren ist es, dass sie keine Angst haben, Dummheiten zu begehen. |
|||
|
|
|
27-06-2011, 01:45 AM
Beitrag #8
|
|||
|
|||
|
Re: DDoS erkennen
hetzner sagt: nein
|
|||
|
|
|
27-06-2011, 01:53 AM
Beitrag #9
|
|||
|
|||
|
Re: DDoS erkennen
Dein Server wird bereits seit einem Monat attackiert?
Die große Stärke der Narren ist es, dass sie keine Angst haben, Dummheiten zu begehen. |
|||
|
|
|
04-07-2011, 10:39 PM
Beitrag #10
|
|||
|
|||
|
Re: DDoS erkennen
Nein, es tritt in recht kurzen Intervallen auf und kommt auch nur gleichzeitig von etwa 3 Drohnen(Server bzw. Standleitungsanschluss)
im groben jede Woche einmal für ~3h in 10min intervallen (10min flood, 10min pause usw...) |
|||
|
|
|
|
Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
