DiBaDu
Anmeldungsdatum: 10. Mai 2018
Beiträge: 10
|
Hallo, in den letzten Tagen habe ich 2 DDOS/Dos Angriffe bekommen. Gibt es eine Möglichkeit, dass wenn ein DDos/Dos ankommt, dass die Angreifer IP automatisch in einen Log eingetragen wird? Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut und ihn mit Pings floodet?
Ich weiß wie ich die aktuellen Verbindungen anzeigen lasse, jedoch nicht wie ich dies alles in einen Log schreiben lassen kann um den Angriff im nachhinein zu untersuchen.
Hat jemand eine Idee wie das klappen könnte? Wünsche noch einen angenehmen Sonntag
|
Naubaddi
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 744
|
Hi, DiBaDu schrieb: Ich weiß wie ich die aktuellen Verbindungen anzeigen lasse...
ich weiß nicht was Du weißt, bzw. wie Du es anzeigen läßt. DiBaDu schrieb: ..., jedoch nicht wie ich dies alles in einen Log schreiben lassen kann um den Angriff im nachhinein zu untersuchen...
Man kann in einer Shell Ausgaben umleiten, auch in eine Datei. https://wiki.ubuntuusers.de/Shell/Umleitungen/ Grüßle
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Um welchen Datenraten geht es hier? Und was fuer Infrastruktur wird da angegriffen (bei Servern zB Virtuell/Nicht-virtuell etc)?
|
DiBaDu
(Themenstarter)
Anmeldungsdatum: 10. Mai 2018
Beiträge: 10
|
Also ich glaube das war ein bisschen unverständlich. Wenn ein Angriff kommt kann ich live im Server die Verbindungen abfragen, die bestehen: netstat -n | grep :80 |wc –l → Anzahl der Verbindungen auf Port 80 ///
netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n → Verbundenen IPs Aber wenn der Angriff vorüber ist und ich nicht am PC war und die Verbindungen checken konnte, finde ich im nachhinein die Angreifer IP nicht mehr heraus.
Und daher möchte ich diese IP in einen Log schreiben lassen. Oder gibt es eine Andere, möglicherweise bessere Lösung? @sebix Es handelt sich um einen vServer von OVH. Derzeitige Angriffe sind ca. 3-4 mal pro Woche für ca. 10 Minuten. Zur Stärke sind es laut OVH Statistik 75MB pro Sekunde
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
DiBaDu schrieb: Also ich glaube das war ein bisschen unverständlich. Wenn ein Angriff kommt kann ich live im Server die Verbindungen abfragen, die bestehen: [...] @sebix Es handelt sich um einen vServer von OVH. Derzeitige Angriffe sind ca. 3-4 mal pro Woche für ca. 10 Minuten
Naja, das kann man ja kaum als Angriff bezeichnen.
Aber wenn der Angriff vorüber ist und ich nicht am PC war und die Verbindungen checken konnte, finde ich im nachhinein die Angreifer IP nicht mehr heraus.
Der Webserver loggt die IPs nicht?
|
DiBaDu
(Themenstarter)
Anmeldungsdatum: 10. Mai 2018
Beiträge: 10
|
sebix schrieb: DiBaDu schrieb: Also ich glaube das war ein bisschen unverständlich. Wenn ein Angriff kommt kann ich live im Server die Verbindungen abfragen, die bestehen: [...] @sebix Es handelt sich um einen vServer von OVH. Derzeitige Angriffe sind ca. 3-4 mal pro Woche für ca. 10 Minuten
Naja, das kann man ja kaum als Angriff bezeichnen.
Aber wenn der Angriff vorüber ist und ich nicht am PC war und die Verbindungen checken konnte, finde ich im nachhinein die Angreifer IP nicht mehr heraus.
Der Webserver loggt die IPs nicht?
Erscheint zwar nicht viel, ist aber merkbar besonders wenn Teamspeak benutzt wird merkt man sehr schnell, wenn der Paketverlust höher wird oder der Ping steigt. Es ist kein Webserver aus Sicherheitsgründen installiert, da er nicht benötigt wird.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
DiBaDu schrieb: Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut ...
Welche Client-Software benutzt diese IP denn, um vielfache Verbindungen mit deinem Server aufzubauen?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Ok, das heisst aber, dass der Handshake also eh gar nicht erfolgreich ist, oder? Koenntest du bitte einmal eine solche Beispielausgabe zeigen? SYN-Cookies sind aktiviert?
|
DiBaDu
(Themenstarter)
Anmeldungsdatum: 10. Mai 2018
Beiträge: 10
|
lubux schrieb: DiBaDu schrieb: Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut ...
Welche Client-Software benutzt diese IP denn, um vielfache Verbindungen mit deinem Server aufzubauen?
Hier lasse ich alle Verbindungen anzeigen, die zum Server bestehen, geordnet nach Anzahl: netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n sebix schrieb:
SYN-Cookies sind aktiviert?
SYN-Cookies sind derzeitig noch nicht aktiviert, funktionieren die denn auch bei UDP? Weil die Angriffe sind größtenteils UDP-Floods
Ok, das heisst aber, dass der Handshake also eh gar nicht erfolgreich ist, oder? Koenntest du bitte einmal eine solche Beispielausgabe zeigen?
Beispielausgabe von was? Von den derzeitigen Verbindungen zum Server?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
DiBaDu schrieb: sebix schrieb:
SYN-Cookies sind aktiviert?
SYN-Cookies sind derzeitig noch nicht aktiviert, funktionieren die denn auch bei UDP? Weil die Angriffe sind größtenteils UDP-Floods
Wir reden also von UDP, ganz unwichtiges Detail am Rande. Das ist genau die Information, die ich mir eigentlich von der Antwort aus folgender Frage erhofft hatte: Ok, das heisst aber, dass der Handshake also eh gar nicht erfolgreich ist, oder? Koenntest du bitte einmal eine solche Beispielausgabe zeigen?
Beispielausgabe von was? Von den derzeitigen Verbindungen zum Server?
Die Ausgabe von dem Befehl, den du hier immer postest, womit du dir die Angriffe anzeigen laesst, also netstat .
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
DiBaDu schrieb: Hier lasse ich alle Verbindungen anzeigen, die zum Server bestehen, geordnet nach Anzahl: netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n
Geht es um dem TS? Aber bevor der Sprachkanal mit UDP-Flood "angegriffen" wird, wird der TS über seinen Steuerungskanal (TCP), im Internet erkannt bzw. ausfindig gemacht, oder? D. h. wenn Du den TCP-Port (Sprachkanal) schützt, wird der UDP-Port auch nicht mehr gefloodet. Ist das ein öffentlicher TS-Server oder wird dieser nur von einem überschaubaren Kreis benutzt? EDIT: Wie ist auf deinem Server, die Ausgabe von:
sysctl net.inet.udp.blackhole
?
|
DiBaDu
(Themenstarter)
Anmeldungsdatum: 10. Mai 2018
Beiträge: 10
|
sebix schrieb:
Die Ausgabe von dem Befehl, den du hier immer postest, womit du dir die Angriffe anzeigen laesst, also netstat .
Also von netstat tulpen | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr 8 1xx.ip-xx-36-xx1.e 5 static.2xx.x.2xx. 2 localhost.localdo 1 static.2xx.xxx.xxx 1 p5xxxxx7.dip0.t- 1 ns3xxx3.ip-5x-6x 1 2xx.9x.x.xxx Von: netstat -n | grep :9987 |wc -l 7 Hier sind noch mehr netstat Befehle: https://linuxaria.com/howto/how-to-verify-ddos-attack-with-netstat-command-on-linux-terminal lubux schrieb: Geht es um dem TS? Aber bevor der Sprachkanal mit UDP-Flood "angegriffen" wird, wird der TS über seinen Steuerungskanal (TCP), im Internet erkannt bzw. ausfindig gemacht, oder? D. h. wenn Du den TCP-Port (Sprachkanal) schützt, wird der UDP-Port auch nicht mehr gefloodet. Ist das ein öffentlicher TS-Server oder wird dieser nur von einem überschaubaren Kreis benutzt?
Ja ist ein öffentlicher Teamspeak mit ca. 60-250 Usern. Da bin ich mir jedoch unsicher wie das mit dem TCP Sprachkanal ist und wie ich diesen Schützen kann. ///Edit:
habe gerade noch einen Tipp bekommen: TCPDump oder Wireshark
Kennt sich da jemand mit aus?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
DiBaDu schrieb: Ja ist ein öffentlicher Teamspeak mit ca. 60-250 Usern. Da bin ich mir jedoch unsicher wie das mit dem TCP Sprachkanal ist und wie ich diesen Schützen kann.
Naja, wenn er öffentlich ist und mit so vielen Usern, geht das nicht.
Ich verstecke z. B. den lauschenden tcp-Port durch ein gesetztes ecn-Bit, das dann aber auch bei jedem Client gesetzt sein muss. _Fast_ alle Scanner tcp-scannen/tcp-pingen ohne gesetztes ecn-Bit.
Siehe EDIT oben.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
DiBaDu schrieb: ///Edit:
habe gerade noch einen Tipp bekommen: TCPDump oder Wireshark
Ich denke wer so etwas macht, wird auch gespoofte source-IP-Adressen benutzen.
Wie willst Du beim udp-sniffen/loggen, die legalen von den illegalen source-IP-Adressen differenzieren? Z. B.:
sudo tcpdump -c 500 -vvveni <Interface> udp dst port <UDP-Port>
|
DiBaDu
(Themenstarter)
Anmeldungsdatum: 10. Mai 2018
Beiträge: 10
|
lubux schrieb:
Wie ist auf deinem Server, die Ausgabe von:
sysctl net.inet.udp.blackhole
?
sysctl net.inet.udp.blackhole
sysctl: cannot stat /proc/sys/net/inet/udp/blackhole: No such file or directory
|