kennt sich jemand in Sachen IT.Security aus und kann mir sagen, wie man eine DoS bzw. DDos-Attacke erkennt? Ich habe zwar eine Firewall und Syn Cookies auf dem Webserver aktiviert, aber heute kam es kurz wieder zu Problemen. Daher meine Frage, wie man eine so genannte Flood-Attacke erkennt.
Der Webserver hat z.B. viele TIME_WAIT Verbindungen offen:
tcp6 0 0 212.68.70.7:80 95.88.206.134:56292 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 77.176.86.224:50789 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 95.88.206.134:56290 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 77.176.86.224:50793 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 95.88.206.134:56299 TIME_WAIT -
Laut manpage von netstat wartet der Server auf ein abschließendes Close der Verbindung. Ist das schlimm oder i.O?
Des Weiteren gibt es manchmal IP-Adressen, welche über 30 Verbindungen mit dem Server haben:
# netstat -anp |grep 'tcp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 115.64.233.50
1 121.33.127.216
1 212.68.70.42
1 89.196.65.12
1 93.209.205.226
2 85.177.186.40
2 89.166.136.122
2 92.203.13.131
3 0.0.0.0
3 212.68.70.7
3 79.207.117.219
4
4 74.6.18.220
4 84.128.64.4
6 62.226.234.133
6 88.152.11.26
7 77.176.86.224
7 82.113.121.165
10 85.239.100.104
20 95.88.206.134
Wie viele Connections pro IP-Adresse sind denn normal? Sollte ich diese beschränken? Eventuell hat jemand noch Tipps, wie man einen öffentlichen Server richtig dicht macht
