DDoS/DoS Attacken verfolgen?
Ich hab das Gefühl dass mein Server mittlerweile mit Floods angegriffen wird... wie kann ich gucken von wo die Packete empfangen werden? Kann man die IP verfolgen?
Serversoftware: Ubuntu
MfG
7 Antworten
Das kommt drauf an. Ist der Hacker ein guter Hacker hat er ne VPN-Verbindung benutzt, weshalb man ihn nicht zurückverfolgen könnte. Ist er ein Dummer Hacker hat er es mit seiner Public-IP gemacht und kann sehr leicht zurückverfolgbar sein. Mach am besten eine Anzeige wegen Computersabotage und gib der Polizei die IP-Adresse. Mfg
Hallo
Ich hab das Gefühl dass mein Server mittlerweile mit Floods angegriffen wird
- Gefühle und Server?! - Schau in den Logdateien nach dann hast Du Fakten!
- Wie kommst Du darauf, verhält sich das System nicht erwartungsgemäß?
wie kann ich gucken von wo die Packete empfangen werden?
Um Pakete zu empfangen muss erstmal eine Verbindung aufgebaut werden, diese benötigt einen offenen Port, was wiederum voraussetzt das ein Dienst läuft der die Anfragen bearbeitet. Du kannst ja eine SSH-Anfrage an einen Webserver senden, nur wird diese unbeantwortet bleiben weil SSH dort ja nicht aktiv ist.
Kann man die IP verfolgen?
Wenn Du in den Logfiles eine IP findest kannst Du diese natürlich auch anfragen. Bedenke aber das die IP von gestern heute eventuell schon wieder jemandem ganz anderen (Unschuldigen) gehört und das dies als illegal angesehen werden kann.
Linuxhase
Man sollte bei sowas grundsätzlich die IP und den Port festhalten. Denn wenn mehrere Personen sich eine IP teilen, was gerade bei Kabel-Internet fast immer der Fall ist, dann benötigt man auch noch den Port, um den Täter zu finden. Aber wenn du Wireshark benutzt, kannst du natürlich auch den gesamten Datenverkehr mitschneiden. Das beinhaltet dann sämtliche Informationen.
Und was das mit kabel zu tun haben soll ist auch unfug . sowas gibt es bei UMTS etc , aber nicht bei kabel und auch nciht bei dsl lol .
Ich rede von Carrier-Grade-NAT. Da teilen sich mehrer Nutzer eine IP. Das wird hier näher erklärt: https://www.heise.de/newsticker/meldung/Europol-fordert-umfangreiche-Vorratsdatenspeicherung-2-0-3613212.html
und hier: https://www.heise.de/ix/meldung/RIPE-74-Lieber-IPv6-als-Nutzer-hinter-NATs-3712468.html
Du kannst Wireshark nutzen. Das ist ein Programm, mit dem du den Paketverlauf anzeigen lassen und analysieren kannst. Da gibt es dann auch Statistiken, mit den man einzelne TCP Verbindungen bzw. UDP Pakete über bestimmte Ports analysieren kann. Da steht dann auch, von welcher IP Adresse die Pakete kommen.
Also für Linux Ubuntu Terminal, falls es möglich wäre... geht es?
Du hast das Gefühl das dein Server mit Floods angegriffen wird?
Hier solltest du erst mal Logs auswerten bzw. nachforschen was genau denn das Problem ist?
Gefühlt kann der Server auch einfach zu schwach oder falsch konfiguriert sein.
- Was ist das für ein Server?
- Wo steht dieser Server?
- Was sagt die Auslastung?
- Ist irgendwas nicht mehr erreichbar?
- Welche Schutzmaßnahmen hast du oder wurden schon getroffen?
- und und und...
hä ? du weisst aber schon das routing tabellen so arbeiten , das was vorne und was hinten rauskommt ist und bleibt das gleiche . die source und target adresse ist ja kein onion ,,, ich weiss schon wo es herkommt . DDOS erkennt man daran das ein port auf einem rechner mit anfragen etc geflutet wird . und nein nur weil der router intern das mapping macht steht dennoch drinne von wo nach wo das paket geschickt wird .