paketverluste auf meinem rootserver
Posted: 2007-09-20 20:19
Hallo,
ich habe einen Rootserver bei Strato stehen, Suse10 - aktueller Patch Stand, mod_security installiert, seit einigen Wochen habe ich immer ab 18 ca. 20 Uhr Paketverluste. Ich habe darauf hin mal ein tcpdump gemacht
Auszug:
dabei habe ich pre grep auf .ru gefiltert. Trotzdem sieht mir das irgendwie nach einer ddos aus, liege ich da richtig? Ich habe nun erst angefangen einige IP Bereiche per iptabels zu sperren, aber das geht immer weiter? Die Frage ist, sind diese Einträge ggf. gefälscht und kommen die ganzen Anfragen in wirklichkeit wo anders her? Und wie bekomme ich das dann raus? Habt ihr noch ein Tipp, was ich weiter auswerten kann? Bzw wie ich mich davor schützen kann? mod_evasive habe ich gelesen bringt nur etwas bei einer Attacke von einem Rechner?
Ich würde mich über ein konstruktive Anregung freuen.
Danke!
ich habe einen Rootserver bei Strato stehen, Suse10 - aktueller Patch Stand, mod_security installiert, seit einigen Wochen habe ich immer ab 18 ca. 20 Uhr Paketverluste. Ich habe darauf hin mal ein tcpdump gemacht
Auszug:
Code: Select all
20:08:03.929874 IP www.svetozar.ru.56881 > h****.serverkompetenz.net.http: S 1173541183:1173541183(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258333844 0>
20:08:07.905987 IP www.cia-center.ru.58310 > h****.serverkompetenz.net.http: S 751310977:751310977(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258334241 0>
20:08:10.900370 IP www.cia-center.ru.58310 > h****.serverkompetenz.net.http: S 751310977:751310977(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258334541 0>
20:08:14.100700 IP www.cia-center.ru.58310 > h****.serverkompetenz.net.http: S 751310977:751310977(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258334861 0>
20:08:14.805431 IP node-217-23-143-224.caravan.ru.64195 > h****.serverkompetenz.net.http: S 3058964628:3058964628(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 1967965 0>
20:08:14.805461 IP h****.serverkompetenz.net.http > node-217-23-143-224.caravan.ru.64195: S 4037896957:4037896957(0) ack 3058964629 win 5792 <mss 1460,sackOK,timestamp 170800809 1967965,nop,wscale 2>
20:08:14.866392 IP node-217-23-143-224.caravan.ru.64195 > h****.serverkompetenz.net.http: . ack 1 win 33304 <nop,nop,timestamp 1967972 170800809>
20:08:14.867977 IP node-217-23-143-224.caravan.ru.64195 > h****.serverkompetenz.net.http: P 1:658(657) ack 1 win 33304 <nop,nop,timestamp 1967972 170800809>
20:08:14.867989 IP h****.serverkompetenz.net.http > node-217-23-143-224.caravan.ru.64195: . ack 658 win 1777 <nop,nop,timestamp 170800825 1967972>
20:08:14.870956 IP h****.serverkompetenz.net.40506 > rns30.rl.b.rz-ip.net.domain: 13064+ AAAA? node-217-23-143-224.caravan.ru. (48)
20:08:14.872961 IP h****.serverkompetenz.net.40506 > rns30.rl.b.rz-ip.net.domain: 50869+ A? node-217-23-143-224.caravan.ru. (48)
20:08:14.874860 IP h****.serverkompetenz.net.40506 > rns30.rl.b.rz-ip.net.domain: 37453+ AAAA? node-217-23-143-224.caravan.ru. (48)
20:08:14.876317 IP h****.serverkompetenz.net.40506 > rns30.rl.b.rz-ip.net.domain: 34482+ A? node-217-23-143-224.caravan.ru. (48)
20:08:15.011808 IP www.lisnyak.ru.59309 > h****.serverkompetenz.net.http: S 4292278669:4292278669(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258334952 0>
20:08:15.144188 IP h****.serverkompetenz.net.http > node-217-23-143-224.caravan.ru.64195: P 1:370(369) ack 658 win 1777 <nop,nop,timestamp 170800894 1967972>
20:08:15.144302 IP h****.serverkompetenz.net.http > node-217-23-143-224.caravan.ru.64195: F 370:370(0) ack 658 win 1777 <nop,nop,timestamp 170800894 1967972>
20:08:15.205457 IP node-217-23-143-224.caravan.ru.64195 > h****.serverkompetenz.net.http: . ack 371 win 33119 <nop,nop,timestamp 1968005 170800894>
20:08:15.206190 IP node-217-23-143-224.caravan.ru.64195 > h****.serverkompetenz.net.http: F 658:658(0) ack 371 win 33304 <nop,nop,timestamp 1968005 170800894>
20:08:15.206200 IP h****.serverkompetenz.net.http > node-217-23-143-224.caravan.ru.64195: . ack 659 win 1777 <nop,nop,timestamp 170800909 1968005>
20:08:18.010905 IP www.lisnyak.ru.59309 > h****.serverkompetenz.net.http: S 4292278669:4292278669(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258335252 0>
20:08:18.614779 IP gw.yasno.ru.56086 > h****.serverkompetenz.net.http: S 3197417694:3197417694(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 1772278 0>
20:08:19.401686 IP gw.yasno.ru.56230 > h****.serverkompetenz.net.http: S 2739338883:2739338883(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 1772357 0>
20:08:21.211521 IP www.lisnyak.ru.59309 > h****.serverkompetenz.net.http: S 4292278669:4292278669(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 258335572 0>
20:08:21.608474 IP gw.yasno.ru.56086 > h****.serverkompetenz.net.http: S 3197417694:3197417694(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 1772578 0>
20:08:22.398519 IP gw.yasno.ru.56230 > h****.serverkompetenz.net.http: S 2739338883:27393388
Ich würde mich über ein konstruktive Anregung freuen.
Danke!