DDos/Dos Angreifer IP loggen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
seirex1234
Beiträge: 3
Registriert: 24.03.2019 08:40:27

DDos/Dos Angreifer IP loggen

Beitrag von seirex1234 » 24.03.2019 08:41:33

Hallo,

in den letzten Tagen habe ich 2 DDOS/Dos Angriffe bekommen. Gibt es eine Möglichkeit, dass wenn ein DDos/Dos ankommt, dass die Angreifer IP automatisch in einen Log eingetragen wird? Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut und ihn mit Pings floodet? Ich weiß wie ich die aktuellen Verbindungen anzeigen lasse, jedoch nicht wie ich dies alles in einen Log schreiben lassen kann um den Angriff im nachhinein zu untersuchen. Hat jemand eine Idee wie das klappen könnte?

Wünsche noch einen angenehmen Sonntag

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 09:32:53

seirex1234 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 08:41:33
Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut ...
Kannst Du mit dem Dienst (Software?) über den die vielfachen Verbindungen hergestellt werden, nicht auch eine Log-Datei konfigurieren bzw. benutzen?

EDIT:

Siehe auch: https://forum.ubuntuusers.de/topic/ddos ... st-9059748

DeletedUserReAsG

Re: DDos/Dos Angreifer IP loggen

Beitrag von DeletedUserReAsG » 24.03.2019 09:35:32

Wenn das nicht gehen sollte, warum auch immer, könnte man entsprechende Regeln via iptables anlegen.

seirex1234
Beiträge: 3
Registriert: 24.03.2019 08:40:27

Re: DDos/Dos Angreifer IP loggen

Beitrag von seirex1234 » 24.03.2019 09:57:14

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 09:32:53
seirex1234 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 08:41:33
Z.B wenn eine IP vielfache Verbindungen mit dem Server aufbaut ...
Kannst Du mit dem Dienst (Software?) über den die vielfachen Verbindungen hergestellt werden, nicht auch eine Log-Datei konfigurieren bzw. benutzen?

EDIT:

Siehe auch: https://forum.ubuntuusers.de/topic/ddos ... st-9059748
Also ich benutze den hier:
netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n

Dort kann ich nur aktuelle Verbindungen anzeigen und nichts im nachhinein feststellen oder in einen log schreiben lassen
niemand hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 09:35:32
Wenn das nicht gehen sollte, warum auch immer, könnte man entsprechende Regeln via iptables anlegen.
Wie könnte denn sowas aussehen, dass IPs geloggt werden die beispielsweise mehr als 10 verbindungen zum server aufbauen? Oder eine Bestimmte Anzahl an Pakete senden

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: DDos/Dos Angreifer IP loggen

Beitrag von eggy » 24.03.2019 10:56:43

seirex1234 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 09:57:14
netstat -anp |grep ‚tcp\|udp‘ | awk ‚{print $5}‘ | cut -d: -f1 | sort | uniq -c | sort –n
Wozu soll das tcp/udp greppen gut sein, wenn Du Pings als Ursache vermutest ?

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: DDos/Dos Angreifer IP loggen

Beitrag von Huck Fin » 24.03.2019 11:02:31

Fail2ban sollte das können...

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: DDos/Dos Angreifer IP loggen

Beitrag von schwedenmann » 24.03.2019 11:22:53

Hallo


per netstat kann man das afaik in einlog schreiben und das auswerten

https://www.linuxquestions.org/question ... og-749396/


mfg
schwedenmann

Alternativ kannst du ja so was wie monitorix, oder dergleichen installieren, die schreiben ja auch logs, bzw. legen die entsprechenden Daten in einer rrdb an, die kann mann ja auch wiederum auswerten sollen können dürfte :mrgreen:

PPs
da du nicht schreibst, um was für einen Rechner es sich handelt.(wenn da apache2 oder nginx drauf ist, hast du doch auswertbare logs.)

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: DDos/Dos Angreifer IP loggen

Beitrag von eggy » 24.03.2019 12:13:05

@schwedenmann: Wenn es sowas wie synflooding ist, kommen die Anfragen garnicht erst bis zum Webserver nach oben, sondern es legt den Server bereits weiter unten im Protokollstack beim Aushandeln der TCP Verbindung lahm. Daher machts schon Sinn, erstmal weiter unten (tcpdump/iptables logging) nachzusehn, was da wirklich passiert.

TomL

Re: DDos/Dos Angreifer IP loggen

Beitrag von TomL » 24.03.2019 12:21:29

eggy hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 12:13:05
Daher machts schon Sinn, erstmal weiter unten (tcpdump/iptables logging) nachzusehn, was da wirklich passiert.
Genau so sehe ich das auch... die Pakete sollen erst gar nicht bis zum Service durchkommen. Bei mir sieht das via nftables geloggt so aus:
NoPaste-Eintrag40671

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 13:19:53

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 11:22:53
da du nicht schreibst, um was für einen Rechner es sich handelt.(wenn da apache2 oder nginx drauf ist, hast du doch auswertbare logs.)
BTW: Beim TE geht es um UDP Flooding auf einen Teamspeak-Server.

seirex1234
Beiträge: 3
Registriert: 24.03.2019 08:40:27

Re: DDos/Dos Angreifer IP loggen

Beitrag von seirex1234 » 24.03.2019 14:22:07

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 11:22:53
da du nicht schreibst, um was für einen Rechner es sich handelt.(wenn da apache2 oder nginx drauf ist, hast du doch auswertbare logs.)
Es handelt sich um einen Debian 8 Server.

Auf diesem Server ist nur Teamspeak installiert.

TomL

Re: DDos/Dos Angreifer IP loggen

Beitrag von TomL » 24.03.2019 14:54:19

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 13:19:53
BTW: Beim TE geht es um UDP Flooding auf einen Teamspeak-Server.
Gibts denn da Möglichkeiten... ?... ich kenne keine... ich würde das auch nicht protokollieren wollen. Dabei würde ich befürchten,dass ich das System allein mit Journaleinträgen und ICMP-Antworten völlig lahmlegen würde. UPD ist verbindungslos und zustandslos, also gibts auch kein Conntrack... da kommen auf beliebigen Ports wie aus ner Gieskanne UDP-Pakete rein, denen es egal ist, ob sie ankommen oder nicht, ob sie fehlerfrei oder fehlerhaft sind, ob sie angenommen werden oder nicht.

Ich würde an der Stelle via Paketfilter alle UDP-Pakete mit „zufälligen“ Ports ohne ICMP-Rückantwort einfach verwerfen und die Drop-Rate einfach mal ne Zeit beobachten oder sogar stündlich via Cron abfragen und in eine Tabelle packen. Um dann mal zu den ermittelten Spitzenzeiten -sofern sich das wiederholt oder vorhersagbar ist- direkt auf den Traffic zu schauen. Die Pakete mit passendem Port muss man eh durchlassen, das könnten ja reguläre Verbindungsversuche oder Datenpakete sein.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 15:03:06

TomL hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 14:54:19
Die Pakete mit passendem Port muss man eh durchlassen, das könnten ja reguläre Verbindungsversuche oder Datenpakete sein.
Naja, das Problem wird hier sein, dass das UDP Flooding hier nur auf den passenden UDP-Port des TS geht.

TomL

Re: DDos/Dos Angreifer IP loggen

Beitrag von TomL » 24.03.2019 16:35:34

Und wie will man da zwischen erwünschten und unerwünschten IP-Source-Adressen differenzieren? Meiner Meinung nach geht das mit UDP nicht. Weisst Du, wie die Lösung aussieht?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 21:35:38

TomL hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 16:35:34
Weisst Du, wie die Lösung aussieht?
Nein. Deshalb habe ich ja auch geschrieben, dass das hier ein Problem sein wird.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 24.03.2019 21:47:15

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 21:35:38
TomL hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 16:35:34
Weisst Du, wie die Lösung aussieht?
Nein. Deshalb habe ich ja auch geschrieben, dass das hier ein Problem sein wird.
EDIT:

OK, ich wusste schon eine Lösung. Den Teamspeak-Server nicht benutzen. Es gibt gleichwertige VoIP-Server, bei denen man die Ports selber konfigurieren kann und nicht gezwungen ist die Standard-Ports (die jeder kennt) zu benutzen.

DeletedUserReAsG

Re: DDos/Dos Angreifer IP loggen

Beitrag von DeletedUserReAsG » 24.03.2019 22:41:32

Soweit mir bekannt, kann man bei TS durchaus die Ports bestimmen. Zumindest haben einige von mir manchmal benutzte Server unterschiedliche Ports.

Was meinen Vorschlag zu iptables betrifft: Für die Auswertung und angedachte Reaktion wird man sich dann noch ’n Script schreiben müssen. Wer so Server betreibt, sollte das aber problemlos hinbekommen.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDos/Dos Angreifer IP loggen

Beitrag von mat6937 » 25.03.2019 08:56:06

niemand hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 22:41:32
Soweit mir bekannt, kann man bei TS durchaus die Ports bestimmen.
Das wäre dann m. E. eine mögliche Lösung (... wenn es nicht (zu) viele Benutzer sind und der "Angreifer" nicht aus dem Kreis der berechtigten bzw. informierten Benutzer kommt).

Antworten