DDos/Dos Angreifer IP loggen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
seirex1234
Beiträge: 3
Registriert: 24.03.2019 08:40:27

DDos/Dos Angreifer IP loggen

Beitrag von seirex1234 » 24.03.2019 08:41:33

Hallo,

in den letzten Tagen habe ich 2 DDOS/Dos Angriffe bekommen. Gibt es eine Möglichkeit, dass wenn ein DDos/Dos ankommt, dass die Angreifer IP automatisch in einen Log eingetragen wird? Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut und ihn mit Pings floodet? Ich weiß wie ich die aktuellen Verbindungen anzeigen lasse, jedoch nicht wie ich dies alles in einen Log schreiben lassen kann um den Angriff im nachhinein zu untersuchen. Hat jemand eine Idee wie das klappen könnte?

Wünsche noch einen angenehmen Sonntag

mat6937
Beiträge: 1401
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 09:32:53

seirex1234 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 08:41:33
Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut ...
Kannst Du mit dem Dienst (Software?) über den die vielfachen Verbindungen hergestellt werden, nicht auch eine Log-Datei konfigurieren bzw. benutzen?

EDIT:

Siehe auch: https://forum.ubuntuusers.de/topic/ddos ... st-9059748

Benutzeravatar
niemand
Beiträge: 13047
Registriert: 18.07.2004 16:43:29

Re: DDos/Dos Angreifer IP loggen

Beitrag von niemand » 24.03.2019 09:35:32

Wenn das nicht gehen sollte, warum auch immer, könnte man entsprechende Regeln via iptables anlegen.
ENOKEKS

seirex1234
Beiträge: 3
Registriert: 24.03.2019 08:40:27

Re: DDos/Dos Angreifer IP loggen

Beitrag von seirex1234 » 24.03.2019 09:57:14

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 09:32:53
seirex1234 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 08:41:33
Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut ...
Kannst Du mit dem Dienst (Software?) über den die vielfachen Verbindungen hergestellt werden, nicht auch eine Log-Datei konfigurieren bzw. benutzen?

EDIT:

Siehe auch: https://forum.ubuntuusers.de/topic/ddos ... st-9059748
Also ich benutze den hier:
netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n

Dort kann ich nur aktuelle Verbindungen anzeigen und nichts im nachhinein feststellen oder in einen log schreiben lassen
niemand hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 09:35:32
Wenn das nicht gehen sollte, warum auch immer, könnte man entsprechende Regeln via iptables anlegen.
Wie könnte denn sowas aussehen, dass IPs geloggt werden die beispielsweise mehr als 10 verbindungen zum server aufbauen? Oder eine Bestimmte Anzahl an Pakete senden

eggy
Beiträge: 1929
Registriert: 10.05.2008 11:23:50

Re: DDos/Dos Angreifer IP loggen

Beitrag von eggy » 24.03.2019 10:56:43

seirex1234 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 09:57:14
netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n
Wozu soll das tcp/udp greppen gut sein, wenn Du Pings als Ursache vermutest ?

Benutzeravatar
Huck Fin
Beiträge: 1014
Registriert: 10.03.2008 17:10:30

Re: DDos/Dos Angreifer IP loggen

Beitrag von Huck Fin » 24.03.2019 11:02:31

Fail2ban sollte das können...

schwedenmann
Beiträge: 4375
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: DDos/Dos Angreifer IP loggen

Beitrag von schwedenmann » 24.03.2019 11:22:53

Hallo


per netstat kann man das afaik in einlog schreiben und das auswerten

https://www.linuxquestions.org/question ... og-749396/


mfg
schwedenmann

Alternativ kannst du ja so was wie monitorix, oder dergleichen installieren, die schreiben ja auch logs, bzw. legen die entsprechenden Daten in einer rrdb an, die kann mann ja auch wiederum auswerten sollen können dürfte :mrgreen:

PPs
da du nicht schreibst, um was für einen Rechner es sich handelt.(wenn da apache2 oder nginx drauf ist, hast du doch auswertbare logs.)

eggy
Beiträge: 1929
Registriert: 10.05.2008 11:23:50

Re: DDos/Dos Angreifer IP loggen

Beitrag von eggy » 24.03.2019 12:13:05

@schwedenmann: Wenn es sowas wie synflooding ist, kommen die Anfragen garnicht erst bis zum Webserver nach oben, sondern es legt den Server bereits weiter unten im Protokollstack beim Aushandeln der TCP Verbindung lahm. Daher machts schon Sinn, erstmal weiter unten (tcpdump/iptables logging) nachzusehn, was da wirklich passiert.

TomL
Beiträge: 4355
Registriert: 24.07.2014 10:56:59

Re: DDos/Dos Angreifer IP loggen

Beitrag von TomL » 24.03.2019 12:21:29

eggy hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 12:13:05
Daher machts schon Sinn, erstmal weiter unten (tcpdump/iptables logging) nachzusehn, was da wirklich passiert.
Genau so sehe ich das auch... die Pakete sollen erst gar nicht bis zum Service durchkommen. Bei mir sieht das via nftables geloggt so aus:
NoPaste-Eintrag40671
vg, Thomas

mat6937
Beiträge: 1401
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 13:19:53

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 11:22:53
da du nicht schreibst, um was für einen Rechner es sich handelt.(wenn da apache2 oder nginx drauf ist, hast du doch auswertbare logs.)
BTW: Beim TE geht es um UDP Flooding auf einen Teamspeak-Server.

seirex1234
Beiträge: 3
Registriert: 24.03.2019 08:40:27

Re: DDos/Dos Angreifer IP loggen

Beitrag von seirex1234 » 24.03.2019 14:22:07

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 11:22:53
da du nicht schreibst, um was für einen Rechner es sich handelt.(wenn da apache2 oder nginx drauf ist, hast du doch auswertbare logs.)
Es handelt sich um einen Debian 8 Server.

Auf diesem Server ist nur Teamspeak installiert.

TomL
Beiträge: 4355
Registriert: 24.07.2014 10:56:59

Re: DDos/Dos Angreifer IP loggen

Beitrag von TomL » 24.03.2019 14:54:19

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 13:19:53
BTW: Beim TE geht es um UDP Flooding auf einen Teamspeak-Server.
Gibts denn da Möglichkeiten... ?... ich kenne keine... ich würde das auch nicht protokollieren wollen. Dabei würde ich befürchten,dass ich das System allein mit Journaleinträgen und ICMP-Antworten völlig lahmlegen würde. UPD ist verbindungslos und zustandslos, also gibts auch kein Conntrack... da kommen auf beliebigen Ports wie aus ner Gieskanne UDP-Pakete rein, denen es egal ist, ob sie ankommen oder nicht, ob sie fehlerfrei oder fehlerhaft sind, ob sie angenommen werden oder nicht.

Ich würde an der Stelle via Paketfilter alle UDP-Pakete mit „zufälligen“ Ports ohne ICMP-Rückantwort einfach verwerfen und die Drop-Rate einfach mal ne Zeit beobachten oder sogar stündlich via Cron abfragen und in eine Tabelle packen. Um dann mal zu den ermittelten Spitzenzeiten -sofern sich das wiederholt oder vorhersagbar ist- direkt auf den Traffic zu schauen. Die Pakete mit passendem Port muss man eh durchlassen, das könnten ja reguläre Verbindungsversuche oder Datenpakete sein.
vg, Thomas

mat6937
Beiträge: 1401
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 15:03:06

TomL hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 14:54:19
Die Pakete mit passendem Port muss man eh durchlassen, das könnten ja reguläre Verbindungsversuche oder Datenpakete sein.
Naja, das Problem wird hier sein, dass das UDP Flooding hier nur auf den passenden UDP-Port des TS geht.

TomL
Beiträge: 4355
Registriert: 24.07.2014 10:56:59

Re: DDos/Dos Angreifer IP loggen

Beitrag von TomL » 24.03.2019 16:35:34

Und wie will man da zwischen erwünschten und unerwünschten IP-Source-Adressen differenzieren? Meiner Meinung nach geht das mit UDP nicht. Weisst Du, wie die Lösung aussieht?
vg, Thomas

mat6937
Beiträge: 1401
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 21:35:38

TomL hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 16:35:34
Weisst Du, wie die Lösung aussieht?
Nein. Deshalb habe ich ja auch geschrieben, dass das hier ein Problem sein wird.

Antworten