Denial-Of-Service erkennen: Wie netstat einsetzen

Firewall, Computerviren, Sicherheit, Internet-Kriminalität, Kinderschutz

Moderator: coolmann

Benutzeravatar
schmidtsmikey
Site Admin
Beiträge: 8969
Registriert: 08.12.2003, 21:50
Wohnort: Hamburg
Kontaktdaten:

Denial-Of-Service erkennen: Wie netstat einsetzen

Beitragvon schmidtsmikey » 13.04.2009, 18:15

Hi,

kennt sich jemand in Sachen IT.Security aus und kann mir sagen, wie man eine DoS bzw. DDos-Attacke erkennt? Ich habe zwar eine Firewall und Syn Cookies auf dem Webserver aktiviert, aber heute kam es kurz wieder zu Problemen. Daher meine Frage, wie man eine so genannte Flood-Attacke erkennt.

Der Webserver hat z.B. viele TIME_WAIT Verbindungen offen:
tcp6 0 0 212.68.70.7:80 95.88.206.134:56292 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 77.176.86.224:50789 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 95.88.206.134:56290 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 77.176.86.224:50793 TIME_WAIT -
tcp6 0 0 212.68.70.7:80 95.88.206.134:56299 TIME_WAIT -


Laut manpage von netstat wartet der Server auf ein abschließendes Close der Verbindung. Ist das schlimm oder i.O?

Des Weiteren gibt es manchmal IP-Adressen, welche über 30 Verbindungen mit dem Server haben:

# netstat -anp |grep 'tcp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 115.64.233.50
1 121.33.127.216
1 212.68.70.42
1 89.196.65.12
1 93.209.205.226
2 85.177.186.40
2 89.166.136.122
2 92.203.13.131
3 0.0.0.0
3 212.68.70.7
3 79.207.117.219
4
4 74.6.18.220
4 84.128.64.4
6 62.226.234.133
6 88.152.11.26
7 77.176.86.224
7 82.113.121.165
10 85.239.100.104
20 95.88.206.134


Wie viele Connections pro IP-Adresse sind denn normal? Sollte ich diese beschränken? Eventuell hat jemand noch Tipps, wie man einen öffentlichen Server richtig dicht macht :D

Benutzeravatar
schmidtsmikey
Site Admin
Beiträge: 8969
Registriert: 08.12.2003, 21:50
Wohnort: Hamburg
Kontaktdaten:

Re: Denial-Of-Service erkennen: Wie netstat einsetzen

Beitragvon schmidtsmikey » 13.04.2009, 18:28

Also, TIME_WAIT scheint nicht so dramatisch zu sein:

The TIME_WAIT state occurs after the socket is closed out. The system is monitoring the socket descriptor and will not release it for a few minutes. It's waiting for any delayed packets to turn up from the remote host after acknowledging the connection termination request.

The TIME_WAIT state prevents old socket connections from being reused before all data is 'flushed' off the network.

[...]

It is normal to have a socket in the TIME_WAIT state for a long period of time. The time is specified in RFC793 as twice the Maximum Segment Lifetime (MSL). MSL is specified to be 2 minutes. So, a socket could be in a TIME_WAIT state for as long as 4 minutes. Some systems implement different values (less than 2 minutes) for the MSL.

[...]

It is highly unlikely that anyone would ever need to shorten tcp_time_wait_interval
Quelle:


Das habe ich zum Thema TCP/IP Handshake gefunden: http://support.microsoft.com/kb/137984
Und das zum Thema DoS-Attacke verhindern: http://www.hirner.at/archives/8795

Joyrider
Beiträge: 4570
Registriert: 27.09.2006, 08:45

Re: Denial-Of-Service erkennen: Wie netstat einsetzen

Beitragvon Joyrider » 16.04.2009, 19:19

schmidtsmikey hat geschrieben:Laut manpage von netstat wartet der Server auf ein abschließendes Close der Verbindung. Ist das schlimm oder i.O?

Nun ja, schlimm trifft schon zu

Der Server wartet auf ein Close der Verbindung, welches aber nicht kommt. Somit bleibt die Verbindung offen, weil der Server wartet und wartet. Wenn dies zu oft passiert sind sehr viele Verbindungen offen und belasten den Server, irgendwann geht dann nix mehr.

Mehr dazu auch hier:
http://de.wikipedia.org/wiki/SYN-Flood


Zurück zu „Security, AntiVirus & CyberCrime“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste