Port 80 gefloodet

Ich nehme an Du hast auf Port 80 ganz regulaer einen Webserver laufen, richtig?
Dann ist meiner Meinung nach der Einsatz eines Tarpits oder Honeypots nicht so ganz das richtige, denn die Anfragen gehen doch gezielt an den Webserver, oder?
Es waere hier vielleicht sinnvoller die Anzahl der Anfragen von einer IP zu limitieren.
IPTables bietet dafuer eine Funktion, die habe ich mir aber bisher noch nicht weiter angeguckt, sodass ich spontan kein Beispiel zur Hand habe.
Handelt es sich bei dem Flooding um einen normalen SYN-Flood?
 
da ist zwar ein webserver aber es kommen anfragen von einem
ROOTSERVER

aber IP tables und firewall bringen nix da die anfragen beim apache nicht ankommen

das einziegste wo ich die vielen anfragen sehe ist in der netstat

Danke ulf
 
Wenn die Anfragen den Apache nicht erreichen dann werden sie wohl schon ausgefiltert. Obwohl, eigentlich duerften sie dann auch nicht in netstat auftauchen mein ich.
Was genau meinst Du damit, dass sie von einem Rootserver kommen? Ich denke mal nicht, dass sie von einem der DNS-Roots kommen?

Und halte Dich doch bitte an Gross- und Kleinschreibung.
 
nein sie kommmen aus einem RZ aus berlin .... also aus einem anderen Rz als der rechner selbst
der hostname des angriefers ist ein hXXXXXXX.serverkompetenz.net rechner das heißt ein rechner aus dem Strato RZ.

hmm bloß was soll ich tun
 
Es waere nicht uninteressant davon ein wenig Traffic zu sehen um zu wissen was da genau ablaeuft.
Was ich Dir auch raten wuerde ist diese Infos mal per Mail an den Admin des Servers, gegebenenfalls sogar auch direkt an Strato zu mailen, evtl. auch mit dem Trafflic-Log.
Ansonsten solltest Du am besten saemtlichen Traffic von der betreffenden IP sperren.
 
wie log ich das am besten.... ich habe die strato abuse auch schon benachrichtigt

könntest du mir sagen wo ich das loggen kann


danke Ulf
 
Du kannst entweder die Logging-Faehigkeiten von IPTables nutzen, oder aber TCPDump oder Wireshark, welche direkt als PCAP loggen koennen, was dann recht einfach mit anderen Tools, z.B. dem GUI von Wireshark, auszuwerten ist.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück