DDos Angreifer IP

DiBaDu

New Member
Hallo,

in den letzten Tagen habe ich 2 DDOS/Dos Angriffe bekommen. Gibt es eine Möglichkeit, dass wenn ein DDos/Dos ankommt, dass die Angreifer IP automatisch in einen Log eingetragen wird? Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut und ihn mit Pings floodet?
Ich weiß wie ich die aktuellen Verbindungen anzeigen lasse, jedoch nicht wie ich dies alles in einen Log schreiben lassen kann um den Angriff im nachhinein zu untersuchen.
Hat jemand eine Idee wie das klappen könnte?

Wünsche noch einen angenehmen Sonnatg
 

d3p

Blog Benutzer
Sowohl iptables als auch nftables bieten die Möglichkeit, Pakete zu protokollieren.

Je nach Angriffsvolumen können die Logdateien aber sehr groß werden und ggf. deinen gesamten Speicherplatz aufbrauchen bzw. das System stark auslasten.
 

DiBaDu

New Member
Okey vielen dank.

Gibt es dann eine Möglichkeit, nicht alle IP Verbindungen zu loggen, sondern immer nur einen eintrag zu erstellen, wenn eine IP mehr als 10 verbindungen oder so aufbaut?
Also nicht jede Verbindung zum Server direkt zu loggen. Und wie lässt sich sowas umsetzen?
 

nexus

Well-Known Member
Warum willst du das unbedingt loggen?
Du kannst doch die Pakete nach deinen Bedürfnissen verwerfen.
 

DiBaDu

New Member
loggen, damit ich im nachhinein sehen kann von welcher IP aus ein Angriff ausgeführt wurde. Wenn ich mal nicht am PC sitze und bei einem Angriff alle aktiven Verbindungen ausgeben lassen kann.
Oder gib es eine andere Möglichkeit, Angreifer IP's heraus zu finden, auch nach einem Angriff noch?
 

nexus

Well-Known Member
damit ich im nachhinein sehen kann von welcher IP aus ein Angriff ausgeführt wurde
Und was nützt dir die Kenntnis der angreifenden IP?
Die IP wird mit hoher Wahrscheinlichkeit eh gefälscht sein, wird dir also bei einer möglichen Analyse nicht weiterhelfen.
 

DeaD_EyE

Blog Benutzer
Spar dir die Mühe festzustellen, wer der Angreifer ist.
Es handelt sich um viele infizierte Server, die ferngesteuert deinen Server angreifen.
Das ist ja das blöde bei einem dDOS. Das kleine d steht für distributed, also verteilter Service-Angriff.
Die IP des Hackers taucht in deinen Logs nicht auf, da er nur den Commandserver steuert.
Die infizierten Server holen sich vom Commandserver die Aufträge.
 

marce

Well-Known Member
... und sollte es ein ernsthafter (d)DOS sein, kannst Du lokal auf dem Server eh nichts dagegen machen - da muss der Provider ran um die Filtermaßnahmen bereits auf Switch / Router-Ebene zu implementieren.
 

DiBaDu

New Member
Also der Server steht bei OVH und wird durch deren DDos Schutz abgedeckt. Die Angriffe werden zwar gefiltert doch einige Pakete rutschen noch bis auf den Server durch, weshalb es möglich ist die Angreifer IP festzustellen.

Es ist kein ganzes Bot-Netzwerk sondern nur 2-3 Server, deren IPs nicht gespooft worden sind. Der Dos wird mit der normalen, öffentlichen IP ausgeführt
Dadurch bekommt er trotzdem keine Post von der Polizei, weil OVH diese kleinen Angriffe nicht zur Anzeige bringt und ihnen nicht nachgeht.
Das einzige was ihm passieren kann, ist das sein Anbieter das mit bekommt oder den Server sperrt aufgrund des hohen Traffics.

Also es geht nur darum diese vereinzelten IPs, die mehrere Verbindungen, Pings und Pakete schicken ausfindig zu machen und zu speichern. Da steckt kein Bot-Net hinter
 

nexus

Well-Known Member
Also es geht nur darum diese vereinzelten IPs, die mehrere Verbindungen, Pings und Pakete schicken ausfindig zu machen und zu speichern. Da steckt kein Bot-Net hinter
Wenn du es doch sowieso schon eingrenzen kannst, dann paß doch deine Firewallregeln entsprechend an, um die betreffenden Pakete bzw. Anfragen einfach zu verwerfen.
 

DiBaDu

New Member
Du kannst trotzdem eine Abuse Meldung an den Provider, zu dem die IP gehört, absetzen.
Wenn du es doch sowieso schon eingrenzen kannst, dann paß doch deine Firewallregeln entsprechend an, um die betreffenden Pakete bzw. Anfragen einfach zu verwerfen.
Wenn ich eine Abuse Meldung schicken möchte oder es eingrenze, muss ich auch erstmal die IPs herausfinden.

Sehr zu empfehlen: https://github.com/DigitalRuby/IPBan . Kann man z.B. auch benutzen, um die Quell IPs von fehlgeschlagenen RDP Verbindungsversuchen auf Windows Servern automatisiert in die Firewall zu schieben (vom Tool angelegte Blockregel).

Geht auf Windows und Linux.
Vielen Dank. Schaue ich mir mal an
 

Thunderbyte

Moderator
Staff member
Wenn ich eine Abuse Meldung schicken möchte oder es eingrenze, muss ich auch erstmal die IPs herausfinden.
Du solltest vielleicht endlich mal erläutern, ob es sich um einen Linux oder Windows Server handelt. Dann könnte man Dir hier auch sinnvolle Tips geben. Bei Windows sieht man doch die Verbindungen mit Quell IPs schlicht schon im Netzwerkteil des Ressourcenmonitors.
 

DiBaDu

New Member
Du solltest vielleicht endlich mal erläutern, ob es sich um einen Linux oder Windows Server handelt. Dann könnte man Dir hier auch sinnvolle Tips geben. Bei Windows sieht man doch die Verbindungen mit Quell IPs schlicht schon im Netzwerkteil des Ressourcenmonitors.
Linux Debian 8
 

Thunderbyte

Moderator
Staff member
Dann kannst Du z.B. auch das o.g. Skript verwenden.

Nebenbei: Bei einem "wirklichen" DDOS Angriff ist der Server komplett dicht und nicht mehr erreichbar. Wenn Du also noch drauf kommst und etwas machen kannst, kanns eigentlich nicht wirklich ein DDOS sein. Evtl ists auch nur "Hintergrundrauschen".

watch -d -n1 lsof -i
(von https://help.joyent.com/hc/en-us/articles/226687427-Watching-active-IP-connections-Linux )

erscheint mir zur Anzeige der offenen Verbindungen als sinnvoll. Ansonsten kannst Du Dich auch mal mit netstat beschäftigen.
 
Top