Maßnahmen gegen DOS?

[itti]

Hi,

ich betreue einen Suse 9.1 Root bei 1&1.

Nun haben wir da einen netten Kandidaten der offen im IRC zugibt "ich mach mal den server down" und kurz darauf ist wirklich nichts mehr zu erreichen. Da er das immer Nachts macht und ich früh rausmuss war ich leider nie selbst dabei um evtl. mal etwas zu checken was genau er DOSed.

Mir bleibt immer nur die access_log und error_log anzusehen aber zum entsprechenden Zeitpunkt sind überhaupt keine Einträge vorhanden.

Apache Version ist 2.0.53 mit php 4.10 aus den inoffiziellen Suse RPMs.

Der nervige Typ hat sogar zugegeben dass er dabei ein "tool" nutzt das wohl auf einem "amerikanischen server" liegen soll. Ich glaube nämlich auch nicht dass er zugang zu botnets hat.

Was kann ich nun jetzt aber tun? Firewall möchte ich keine aktivieren auf dem Rechner. Vorallem hab ich ja nichtmal die IP. Gibts evtl. beim Apache ne direktive um an ein und denselben user nur maximal vielleicht 10 requests durchzuliefern? das würd uns doch schonmal viel helfen, oder?

[padi]

es muss nicht zwangsläufig was mit dem apache zu tun haben, denn man kann jeden x belieben port für ddos nutzen, somit ist die sache ein wenig komplizierter, was machbar ist, find die ip raus und sperr die, ports blocken bringts da leider gar nicht. wobei beim ip blocken das problem besteht das er sich dann einfach einen anderen server zum ddos schnappt und die ganze sache von vorne anfängt.

[bungeebug]

äh wie wärs mit na Anzeige? IRC-Logs hast du? Evl. machst du mal ne Nachtschicht und hast dann auch Beweise, dass er auch macht was er sagt und dann geht der Spass los.

[padi]

äh wie wärs mit na Anzeige? IRC-Logs hast du? Evl. machst du mal ne Nachtschicht und hast dann auch Beweise, dass er auch macht was er sagt und dann geht der Spass los.

IRC Logs sind vor Gericht nicht rechtens.

[bungeebug]

Das mit Sicherheit nicht aber wenn man sie hat, kann es nicht schaden. Ausserdem dürfte es schwer werden wenn man ohne Anhaltspunkt eine Anzeige erstatten will bzw. generell Schritte einleiten will. - Sind aber alles nur Vermutungen, hab keine ausreichtende Ahnung vom Recht um da eine gültige Meinung von mir geben zu können ...

[padi]

Das mit Sicherheit nicht aber wenn man sie hat, kann es nicht schaden. Ausserdem dürfte es schwer werden wenn man ohne Anhaltspunkt eine Anzeige erstatten will bzw. generell Schritte einleiten will. - Sind aber alles nur Vermutungen, hab keine ausreichtende Ahnung vom Recht um da eine gültige Meinung von mir geben zu können ...

Was bringt es dann? Du weißt es klar! Hast aber keine Beweise, also wird die Anzeige fallen gelassen. Wobei du dann keinen Schritt weiter wärst, ausser mal davon abgesehen das du Unruhe verursacht hast.

Und er braucht erstmal den Real Name + Adresse und die wird er sicher so nicht rausrücken.

[outofbound]

äh wie wärs mit na Anzeige? IRC-Logs hast du? Evl. machst du mal ne Nachtschicht und hast dann auch Beweise, dass er auch macht was er sagt und dann geht der Spass los.

IRC Logs sind vor Gericht nicht rechtens.

Warum nicht?

Achso, du meinst sie haben keine Beweiskraft. Aber Indizkraft haben Sie imho. Geg.falls kann man Logs auch beim Provider besorgen lassen, am besten bei wiederkehrenden Vergehen direkt vom Staatsanwalt. Straftat ist Straftat.

Gruss,

Out

IANAL, IDELLO

[Joe User]

Alle nicht überlebenswichtigen Dienste abschalten und für die übrigen Dienste den Loglevel hochsetzen, sowie statt der IP-Adressen der Clients die Hostnamen loggen (Hint: Dynamische IP-Vergabe bei Einwahl). Nach Auswertung der verfügbaren Logfiles (Angriffszeit->Hostname) freundlich und vor Allem sachlich an abuse@$Provider wenden...

[bungeebug]

Was bringt es dann? Du weißt es klar! Hast aber keine Beweise, also wird die Anzeige fallen gelassen. Wobei du dann keinen Schritt weiter wärst, ausser mal davon abgesehen das du Unruhe verursacht hast.

Und er braucht erstmal den Real Name + Adresse und die wird er sicher so nicht rausrücken.

Auf die Kombination kommts an :)

Du hast das Log ( was mehr oder weniger Unbrauchbar ist ) in dem der "join" der Person beschrieben ist, nämlich -> $nick ( $hostname ) joins $channel <- und evl. noch ein whois oder so. Dann hast du die Logs von deinem Server oder evl. sogar welche, die gleich am Switch gemacht wurden. Jetzt kannst du den Bezug wischen Drogung und Tat herstellen. Sicher ist das nicht sehr aussage kräftig, da die Logs gefälscht sein können aber es dürfte relativ schnell klar werden, dass du nicht handelst um der Person ( die du ja nicht mal kennst ) eins aus zu wischen sondern um dich zu schützen.

[itti]

was nützt mir das schönste irc log? wir sind im euirc wo jeder hostname gemasked ist... an eine ip kommt man somit schon nicht.

[..::rxr::..]

moin ...

Wieso willst du dich jetzt unbedingt auf die IRC Logs versteifen ? ...

Wie schon ein Vorredner (schreiber ?!) bemerkt hat , die Mischung machts...

Befolge erstmal den Ratschlag von Joe und melde nach erfolgreichem Loging an die entsprechende Abuse-Stelle des "Angriffs" Providers.

Danach kannst du (bei Bedarf) mit diesen Logfiles + der Meldung an den Provider + den Logs aus dem IRC zur nächsten Strafermittlungsbehörde deines Vertrauens und dort Anzeige erstatten...

Du wirst erstaunt sein wie gut deine professionelle Vorbereitung bei der entsprechenden Behörde ankommt ;) ...

so long...
Markus

[tcs]

Hi,

interessant sind in solchen Fällen auch NIDS (Network Intrusion Detection System) wie z.B. Snort. Ich spiele gerade ein wenig damit herum um mehr über erwünschte/unerwünschte Aktivitäten an den diversen Netzwerkkarten meiner Rechner herauszufinden
Gutes Buch dazu ist von Ralf Spenneberg
Intrusion Detection und Prevention mit Snort 2 & Co.
Erschienen bei Addison-Wesley
ISBN 3-8273-2134-4

Cheers

tcs

[mem]

Ralf Spenneberg
Intrusion Detection und Prevention mit Snort 2 & Co.
Erschienen bei Addison-Wesley
ISBN 3-8273-2134-4

Kostenlos vom Autor seit kurzem hier: http://www.spenneberg.com/ids.pdf

[outofbound]

wir sind im euirc wo jeder hostname gemasked ist...

Und das sagt überhaupt gar nichts darüber aus... dann musst du halt den Betreiber
anschreiben oder den Cops sagen wen Sie dazu verpflichten müssen mitzuloggen.

Das wird sicher ein Dutzend mal am Tag allein in DE gemacht...

Gruss,

Out

[tcs]

Kostenlos vom Autor seit kurzem hier: http://www.spenneberg.com/ids.pdf

Nope, das ist das erste Buch von ihm zu diesem Thema. Leider

Cheers

tcs