DDOS Protection schlägt nicht an .... was tun?

pepper82

New Member
Ich betreibe einen Rootserver (von SoYouStart.com, also OVH) mit einem Minecraft Server sowie Teamspeak Server darauf. Seit ein paar Tagen scheint die DDOS Protection nicht mehr zu greifen, jedenfalls friert der Server ein und im Control Panel von SoyouStart sehe ich einen enormen Trafficanstieg zu diesem Zeitpunkt. Der Server friert dann wie gesagt ein und muss neugestartet werden.

Auf dem Server läuft Ubuntu Server 12.04 "Precise Pangolin" LTS (64bits). Kann mir jemand einen Tipp geben, wie ich den Angreifer herausfinden kann bzw. die IPs um sie dann zu bannen? Gibt es eine Log?
In der Apache2 Log habe ich schon nachgesehen, da sind aber keine besonderen Einträge vorhanden. Vielleicht wird auch nicht der Port 80 angegriffen, sondern ein anderer? Könnt ihr mir sagen, wie ich
den Angreifern auf die Schliche kommen kann?

Vielen Dank vorab!!!
 

ThomasChr

New Member
Ein dDOS erfolgt aus einem Botnetz heraus, du kannst einerseits den Angreifer also sowieso nicht rausfinden und andererseits nützt das Blocken (über die Firewall) auch nur bedingt etwas denn auch die Firewall bricht bei einem starken dDOS zusammen.

Ich würde also raten:
a) Wende dich an eine Firma (evtl. cloudflare?) die sich mit sowas auskennt, oder b) mach dir keine Feinde ;-)

Thomas
 

Orebor

He who dances with pointers
Und nach dem Neustart ist erst mal wieder alles gut?
Ist der Traffic wirklich einkommend oder hast Du nur den Gesamttraffic beobachtet?
 

IP-Projects.de

verifizierter Anbieter
Du kannst dir auf dem Server mit dem Befehl

netstat -n

die Verbindungen anzeigen lassen die rein- und raus gehen. Vielleicht gibt dir das bereits Aufschluss, was hier passiert.

Ansonsten, was spricht dagegen das Problem an OVH zu übergeben? Die werden doch sicher Techniker haben, die prüfen können, ob die DDoS Protection hier ggf. auf der Regelseite angepasst werden muss.
 

virtual2

Registered User
Du kannst dir auf dem Server mit dem Befehl

netstat -n

die Verbindungen anzeigen lassen die rein- und raus gehen. Vielleicht gibt dir das bereits Aufschluss, was hier passiert.

Ansonsten, was spricht dagegen das Problem an OVH zu übergeben? Die werden doch sicher Techniker haben, die prüfen können, ob die DDoS Protection hier ggf. auf der Regelseite angepasst werden muss.
Mit netstat -n sieht man jedoch nur TCP Verbindungen, kein UDP / ICMP oder gar andere Protokolle die deren DDoS Filter womöglich leaked.

tcpdump -n -i ethX ist dabei etwas zuverlässiger als netstat, zugleich auch aussagekräftiger :)

Mit tcpdump -n -i ethX port 80 -A |grep -i host kann man auch sehr schön HTTP Request Floods beobachten, sofern darin das Problem liegt ;)
 

Top