(d)dos - was tun ?

[95Liga95]

hallo , mein server wird seit heute mittag von jemandem den ich nur online kenne geddost , er meint er wird das ganze tagelang so weiter machen "weil ers kann" ... komischerweise ist mein server aber nicht down , er läuft super und bei nload sehe ich auch nichts aufälliges (Curr: 336.12 kBit/s, war nur mal ne Stunde lang bei 15mb) doch meine webseiten sind nicht erreichbar ... wie geht das ? und was kann ich dagegen jetzt tun ? über die ip zugriffe mit dem befehl sehe ich auch nichts auffälliges :

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

[Lord Gurke]

Guck doch mal mit tcpdump was er so treibt.
Ins Blaue geraten vermute ich mal bei der geringen Bandbreite, dass er da HTTP-Requests schickt, die deinen Webserver auslasten/blockieren oder die dahinterliegenden Datenbanken.

 

[95Liga95]

danke aber was genau erkenne ich da ? da rattern dutzende Zeilen durch , heißt das viele zugriffe ? also liegt das am ddos ?

 

[Lord Gurke]

Naja, ein bisschen filtern müsstest du es vorher schon, sonst siehst du deinen eigenen SSH-Traffic

Zieh dir erstmal ein Sample des Traffics mit

tcpdump -i eth0 -nn -s 0 -w traffic.cap

Den lässt du so ca. eine Minute laufen und brichst es dann mit CTRL+C ab.
Die dabei entstandene Datei "traffic.cap" kannst du dir dann per SCP herunterladen und mal in Wireshark genauer ansehen - das ist entspannter als auf der Konsole.

 

[95Liga95]

ah danke .

 

[Tolive]

@95Liga95 Welchen Webserver verwendest du? Wenn nur der Webserver betroffen ist, handelt es sich aber wahrscheinlich um den Slowloris Angriff. Dabei baut der Angreifer unzählige Verbindungen aus, die aber alle so tun, als ob die Verbindung sehr langsam ist. Dadurch hat der Webserver, i.d.R. eine Apache, so viele offene Verbindungen, dass er die von echten Besuchern nicht mehr beantworten kann.

Das gute ist, dass solche Angriffe meist nur von einer oder ein paar unterschiedlicher IP-Adressen kommen.

Wie du das ganze monitorst hat dir ja bereits Lord Gurke erklärt. Wenn es ein Slowloris Angriff ist, könntest du als Gegenmaßnahme die IPs der Angreifer bannen (zum Beispiel mit IPTables), anzahl gleichzeitiger Verbindungen begrenzen und/oder die time_out Zeit des Webservers senken. Letzteres könnte aber zu Problemen bei Nutzern mit sehr langsamen Internet führen.

 

[mr_brain]

Mit iftop kann man bei Angriff schön sehen, woher und auf welche Ports der Traffic geht.