8
UDP-Flooding Quelle finden
folgendes Problem:
Mein Provider wirft mir vor, von meinem Server sei ein UDP-Flooding ausgegangen.
Leider kann ich das nicht nachvollziehen, die Log-Dateien spucken in der Richtung nichts vernünftiges aus.
Ich habe die Firewall jetzt dahingehend geändert, das der per UDP gar nichts mehr rauslässt. Allerdings wäre es trotzdem klasse die Quelle der Störung zu finden um diese beseitigen zu können.
Ach ja: Perl habe ich ebenfalls vom Server entfernt, da ich das für nichts brauche.
Mein Provider wirft mir vor, von meinem Server sei ein UDP-Flooding ausgegangen.
Leider kann ich das nicht nachvollziehen, die Log-Dateien spucken in der Richtung nichts vernünftiges aus.
Ich habe die Firewall jetzt dahingehend geändert, das der per UDP gar nichts mehr rauslässt. Allerdings wäre es trotzdem klasse die Quelle der Störung zu finden um diese beseitigen zu können.
Ach ja: Perl habe ich ebenfalls vom Server entfernt, da ich das für nichts brauche.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161224
Url: https://administrator.de/contentid/161224
Printed on: April 16, 2024 at 03:04 o'clock
8 Comments
Latest comment
Hallo Daimeon,
was spricht dagegen, die Firewall kurz nochmal zu öffnen und das ganze per Wireshark mitzusniffen?
Dann bist du zumindest ein wenig schlauer, was den Inhalt der UDP-Pakete angeht und eventuell fällt dir dann sofort die Quelle ins Auge.
Grüße,
LittleFlame
was spricht dagegen, die Firewall kurz nochmal zu öffnen und das ganze per Wireshark mitzusniffen?
Dann bist du zumindest ein wenig schlauer, was den Inhalt der UDP-Pakete angeht und eventuell fällt dir dann sofort die Quelle ins Auge.
Grüße,
LittleFlame
Außer Wireshark ist noch MS NetMonitor dein Freund:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
Das zeigt dir sofort schwarz auf weiss was dein Server an UDP Flooding verbricht !!
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
Das zeigt dir sofort schwarz auf weiss was dein Server an UDP Flooding verbricht !!
Öm, das ist ein Linux-Server
Hallo,
schau mal Deine access.log nach "auffälligen" Einträgen durch. Vielleicht hast Du ja die Information vom Provider, wann das in etwa gewesen sein soll, dann kannst Du den Zeitraum eingrenzen. Ich hatte mal einen Server, da war des öfteren folgender Eintrag zu finden (IP-Adressen von mir absurd geändert):
Die erste IP war die von demjenigen, der das Skript aufgerufen hat, die beiden anderen die attackierte IP-Adresse (wurde zufällig im Skript generiert). new.php war natürlich das Skript, das aufgerufen wurde.
kristov
schau mal Deine access.log nach "auffälligen" Einträgen durch. Vielleicht hast Du ja die Information vom Provider, wann das in etwa gewesen sein soll, dann kannst Du den Zeitraum eingrenzen. Ich hatte mal einen Server, da war des öfteren folgender Eintrag zu finden (IP-Adressen von mir absurd geändert):
271.203.13.106 - - [18/Jan/2011:20:17:08 +0100] "GET /webdav/new.php?act=phptools&host=240.12.22.22&ip=240.12.22.22&time=30&port=27016 HTTP/1.1" 200 852 "-" "-"Die erste IP war die von demjenigen, der das Skript aufgerufen hat, die beiden anderen die attackierte IP-Adresse (wurde zufällig im Skript generiert). new.php war natürlich das Skript, das aufgerufen wurde.
kristov
Vielleicht liege ich ja falsch, aber es existiert ein Wireshark für Linux.
Hilft dir zumindest dann, wenn das Problem weiterhin besteht.
Hilft dir zumindest dann, wenn das Problem weiterhin besteht.
Boah, doofe Frage, ich weiß.
Ich kann zum Verrecken keine acces.log finden.
Nur eine access_log in /var/log/apache2
die spuckt aber selten wenig aus.
Zum System:
Das ist OpenSuse 11
Ich kann zum Verrecken keine acces.log finden.
Nur eine access_log in /var/log/apache2
die spuckt aber selten wenig aus.
Zum System:
Das ist OpenSuse 11
@daimeon
Auch für Linux gibt es Wireshark ! Noch einfacher wäre allerdings tcpdump damit gehts auch mit Bordmitteln... !
Auch für Linux gibt es Wireshark ! Noch einfacher wäre allerdings tcpdump damit gehts auch mit Bordmitteln... !
@aqui:
Ja, das hab ich auch gefunden, über tcpdump bin ich ebenfalls gestolpert und verwende das jetzt.
Danke trotzdem
Ja, das hab ich auch gefunden, über tcpdump bin ich ebenfalls gestolpert und verwende das jetzt.
Danke trotzdem