• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

DDos Angreifer IP

DiBaDu

New Member
Hallo,

in den letzten Tagen habe ich 2 DDOS/Dos Angriffe bekommen. Gibt es eine Möglichkeit, dass wenn ein DDos/Dos ankommt, dass die Angreifer IP automatisch in einen Log eingetragen wird? Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut und ihn mit Pings floodet?
Ich weiß wie ich die aktuellen Verbindungen anzeigen lasse, jedoch nicht wie ich dies alles in einen Log schreiben lassen kann um den Angriff im nachhinein zu untersuchen.
Hat jemand eine Idee wie das klappen könnte?

Wünsche noch einen angenehmen Sonnatg
 
Sowohl iptables als auch nftables bieten die Möglichkeit, Pakete zu protokollieren.

Je nach Angriffsvolumen können die Logdateien aber sehr groß werden und ggf. deinen gesamten Speicherplatz aufbrauchen bzw. das System stark auslasten.
 
Okey vielen dank.

Gibt es dann eine Möglichkeit, nicht alle IP Verbindungen zu loggen, sondern immer nur einen eintrag zu erstellen, wenn eine IP mehr als 10 verbindungen oder so aufbaut?
Also nicht jede Verbindung zum Server direkt zu loggen. Und wie lässt sich sowas umsetzen?
 
Warum willst du das unbedingt loggen?
Du kannst doch die Pakete nach deinen Bedürfnissen verwerfen.
 
loggen, damit ich im nachhinein sehen kann von welcher IP aus ein Angriff ausgeführt wurde. Wenn ich mal nicht am PC sitze und bei einem Angriff alle aktiven Verbindungen ausgeben lassen kann.
Oder gib es eine andere Möglichkeit, Angreifer IP's heraus zu finden, auch nach einem Angriff noch?
 
damit ich im nachhinein sehen kann von welcher IP aus ein Angriff ausgeführt wurde
Und was nützt dir die Kenntnis der angreifenden IP?
Die IP wird mit hoher Wahrscheinlichkeit eh gefälscht sein, wird dir also bei einer möglichen Analyse nicht weiterhelfen.
 
Spar dir die Mühe festzustellen, wer der Angreifer ist.
Es handelt sich um viele infizierte Server, die ferngesteuert deinen Server angreifen.
Das ist ja das blöde bei einem dDOS. Das kleine d steht für distributed, also verteilter Service-Angriff.
Die IP des Hackers taucht in deinen Logs nicht auf, da er nur den Commandserver steuert.
Die infizierten Server holen sich vom Commandserver die Aufträge.
 
... und sollte es ein ernsthafter (d)DOS sein, kannst Du lokal auf dem Server eh nichts dagegen machen - da muss der Provider ran um die Filtermaßnahmen bereits auf Switch / Router-Ebene zu implementieren.
 
Falls es doch nur eine IP ist, dann ist der Hacker doof und hat es verdient Besuch von der Polizei zu bekommen ^^
 
Also der Server steht bei OVH und wird durch deren DDos Schutz abgedeckt. Die Angriffe werden zwar gefiltert doch einige Pakete rutschen noch bis auf den Server durch, weshalb es möglich ist die Angreifer IP festzustellen.

Es ist kein ganzes Bot-Netzwerk sondern nur 2-3 Server, deren IPs nicht gespooft worden sind. Der Dos wird mit der normalen, öffentlichen IP ausgeführt
Dadurch bekommt er trotzdem keine Post von der Polizei, weil OVH diese kleinen Angriffe nicht zur Anzeige bringt und ihnen nicht nachgeht.
Das einzige was ihm passieren kann, ist das sein Anbieter das mit bekommt oder den Server sperrt aufgrund des hohen Traffics.

Also es geht nur darum diese vereinzelten IPs, die mehrere Verbindungen, Pings und Pakete schicken ausfindig zu machen und zu speichern. Da steckt kein Bot-Net hinter
 
Also es geht nur darum diese vereinzelten IPs, die mehrere Verbindungen, Pings und Pakete schicken ausfindig zu machen und zu speichern. Da steckt kein Bot-Net hinter
Wenn du es doch sowieso schon eingrenzen kannst, dann paß doch deine Firewallregeln entsprechend an, um die betreffenden Pakete bzw. Anfragen einfach zu verwerfen.
 
Du kannst trotzdem eine Abuse Meldung an den Provider, zu dem die IP gehört, absetzen.

Wenn du es doch sowieso schon eingrenzen kannst, dann paß doch deine Firewallregeln entsprechend an, um die betreffenden Pakete bzw. Anfragen einfach zu verwerfen.

Wenn ich eine Abuse Meldung schicken möchte oder es eingrenze, muss ich auch erstmal die IPs herausfinden.

Sehr zu empfehlen: https://github.com/DigitalRuby/IPBan . Kann man z.B. auch benutzen, um die Quell IPs von fehlgeschlagenen RDP Verbindungsversuchen auf Windows Servern automatisiert in die Firewall zu schieben (vom Tool angelegte Blockregel).

Geht auf Windows und Linux.
Vielen Dank. Schaue ich mir mal an
 
Wenn ich eine Abuse Meldung schicken möchte oder es eingrenze, muss ich auch erstmal die IPs herausfinden.

Du solltest vielleicht endlich mal erläutern, ob es sich um einen Linux oder Windows Server handelt. Dann könnte man Dir hier auch sinnvolle Tips geben. Bei Windows sieht man doch die Verbindungen mit Quell IPs schlicht schon im Netzwerkteil des Ressourcenmonitors.
 
Du solltest vielleicht endlich mal erläutern, ob es sich um einen Linux oder Windows Server handelt. Dann könnte man Dir hier auch sinnvolle Tips geben. Bei Windows sieht man doch die Verbindungen mit Quell IPs schlicht schon im Netzwerkteil des Ressourcenmonitors.

Linux Debian 8
 
Dann kannst Du z.B. auch das o.g. Skript verwenden.

Nebenbei: Bei einem "wirklichen" DDOS Angriff ist der Server komplett dicht und nicht mehr erreichbar. Wenn Du also noch drauf kommst und etwas machen kannst, kanns eigentlich nicht wirklich ein DDOS sein. Evtl ists auch nur "Hintergrundrauschen".

watch -d -n1 lsof -i
(von https://help.joyent.com/hc/en-us/articles/226687427-Watching-active-IP-connections-Linux )

erscheint mir zur Anzeige der offenen Verbindungen als sinnvoll. Ansonsten kannst Du Dich auch mal mit netstat beschäftigen.
 
Back
Top