#1 14. August 2010 Hallo, ich poste hier mal mein Problem in der hoffnung das ich hier die Profi antworten bekomme die ich erhoffe. Für alle Semi-Profi's die nur Beiträge sammeln wollen, bitte etwas zurückhalten. danke . also Habe: 1000mbit Server Unix VMware Kernel auf dem ein ESXi demon läuft in dem habe ich folgende virt. masch.: > Windows Server 2008 R2 Enterprise 64bit 4gb RAM 8GB VRAM, i7 beide haben unterschiedliche IPs, bzw Backup/failover IPs (RIPE Block). Nun wie der Topic verrät geht es um Angriffe auf den Windows Server wo meine Haupt Application läuft. Wenn der angriff statt findet bekomme ich keine verbindung mehr über RDP/SSH/HTTP/ALL da 1000mbit Netzwerkkarte 100% ausgelastet ist. Wenn sich ein angriff abzeichnet hatte ich eine zeit lang versucht mit Wireshark den Traffic aufzunehmen um die angreifer auszumachen, doch leider streikt da wireshark... wohl zuviel traffic... innerhalb von paar sekunden 4 gb wireshark tempdatei die sich automatisch löscht wenn es abstürtzt und wenn man sie schnell kopiert kann man sie nicht öffnen da wireshark abstürtzt bei so großen datein {bild down} ein IDS(Intrusion Detection System) wie Snort oder so habe ich auch nicht zum laufen bekommen... habt ihr vielleicht noch paar programme/ideen wie ich das Problem in griff bekomme ? Mit freundlichen Grüßen HITMAN + Multi-Zitat Zitieren
#2 14. August 2010 AW: [PROFIs gefragt] Server DDoS / IDS / Netzwerk traffic analyse... Wie siehts mit einer Hardware-Firewall aus? Bzw. dem Anbieter, der sollte das doch loggen können oder? Sind das viele IPs, wenns nur eine oder ein paar sind lass einfach alle vom Provider sperren, sollte eigentlich möglich sein. Bei solchen Angriffen kannst du auf der letzten Meile kaum etwas ausrichten, wenn die Pakete nicht schon min. einen Hop vor deinem Server rausgenommen werden kannst du gar nichts tun. Sag deinem Provider er soll sich darum kümmern. hoffe ich konnte dir helfen. + Multi-Zitat Zitieren
#3 14. August 2010 AW: [PROFIs gefragt] Server DDoS / IDS / Netzwerk traffic analyse... Hoster ist OVH Hardware Firewall war auch schon im Gespräch, aber: kostet recht viel für nur Maximaler Durchsatz der Firewall (Mbit/s) bis zu 100 Mbit/s und ich habe ja aber 1000mbit... desweiteren bieten die nur Cisco Firewalls an und da habe ich letztens gelesen das die anfällig für DoS sind... also das wäre erstmal keine alternative... alle IPS sperren und anderesrum alle guten ips freigeben ist auch keine alternative weil es schon etwas größeres Projekt ist... + Multi-Zitat Zitieren
#4 15. August 2010 AW: Server DDoS / IDS / Netzwerk traffic analyse... schau mal hier da gibts noch andere Sniffer, villeicht kannst du so herausfinden was genau passiert.. Link Möglicherweise greifen die ja nur einen bestimmten Dienst/Port an oder senden bestimmte Pakete die sich mit Hilfe von Layer 7 Filter stoppen lassen. Dann müsste man nur beim Router davor diese Pakete rausfiltern. Wie gesagt alleine kannst du da nicht viel machen, informiere deinen Anbieter und schau mal was der so machen kann. + Multi-Zitat Zitieren
#5 15. August 2010 AW: Server DDoS / IDS / Netzwerk traffic analyse... Hallo, hier mal ein Link: DDoS Mitigation Techniques Und hier: WinDump, soll in den Befehlen kompatibel zu TCPDump sein. Grüße Kirill + Multi-Zitat Zitieren
#6 16. August 2010 AW: Server DDoS / IDS / Netzwerk traffic analyse... das problem wird sein, sollte es ein dos angriff sein kannse ruhig die ip blocken. sollte es jedoch ein ddos sein muss man nun rausfinden um was für einen angriff es sich hier handelt. hier kommt der angriff von einem botnet. da hat es keinen sinn über 1k ips zu sperren da du auch unschuldige sperren könntest. die zur zeit stärksten angriffe kommen zur zeit über syn flood. solltest eventuell syn cookies einrichten. Gegen Dos/Syn Flood schützen? - Security Forum DDoS-Attacken abwehren - crn.de kA obs dir weiter helfen wird. auf meinem debian läuft jedoch eine firewall. du musst dir aber klar sein, dass es keinen 100% schutzt gibt. man braucht einfach nur mehr vics um dich lahm zu legen. + Multi-Zitat Zitieren
#7 16. August 2010 AW: Server DDoS / IDS / Netzwerk traffic analyse... Hey, möchte mich hier nur kurz zu dem Thema melden. Ich war auch eine lange Zeit bei OVH und litt dort auch enorm unter DDoS und Syn-Attacken. Ich war eine lange Zeit der Meinung, dass dies iwelche Hater oder sonstwas sind, jedoch nachdem ich iwan meine Server alle direkt in meine Nachbarschaft umgesiedelt habe, hatte ich KEIN EINZIGEN (auch nur ein hauch) von Angriff. Ich habe das Gefühl das die vorhanden IP Ranges seitens OVH nicht nur schon von vornerein "verseucht" sind. Zu dem Problem DDoS und Syn, ich hatte bei OVh nur mehrere 100Mbit Server stehen, da ging es noch. OVh selber weigert sich extremst IPs direkt am Router zu blockieren (Ist bei einem Massenhoster verständlich) Gebumst hab ich den Dos nur dadruch, dass ich die IP nach 0 geroutet habe, neue Fail-OverIPs erstellt und auf diese die Domains geroutet habe. Da mein Angreifer damals nur 3 bestimme IPs attackiert hatte, konnte ich so um den Angriff rum. sorry für den engen text, wollte dir nur meine erfahrung im bezug auf OVH und Attacke nennen + Multi-Zitat Zitieren