Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

UDP-Flooding Quelle finden

Frage Linux

Mitglied: daimeon

daimeon (Level 1) - Jetzt verbinden

21.02.2011, aktualisiert 15:00 Uhr, 3735 Aufrufe, 8 Kommentare

folgendes Problem:

Mein Provider wirft mir vor, von meinem Server sei ein UDP-Flooding ausgegangen.
Leider kann ich das nicht nachvollziehen, die Log-Dateien spucken in der Richtung nichts vernünftiges aus.
Ich habe die Firewall jetzt dahingehend geändert, das der per UDP gar nichts mehr rauslässt. Allerdings wäre es trotzdem klasse die Quelle der Störung zu finden um diese beseitigen zu können.

Ach ja: Perl habe ich ebenfalls vom Server entfernt, da ich das für nichts brauche.
Mitglied: LittleFlame
21.02.2011 um 15:55 Uhr
Hallo Daimeon,

was spricht dagegen, die Firewall kurz nochmal zu öffnen und das ganze per Wireshark mitzusniffen?
Dann bist du zumindest ein wenig schlauer, was den Inhalt der UDP-Pakete angeht und eventuell fällt dir dann sofort die Quelle ins Auge.

Grüße,

LittleFlame
Bitte warten ..
Mitglied: aqui
21.02.2011 um 18:20 Uhr
Außer Wireshark ist noch MS NetMonitor dein Freund:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
Das zeigt dir sofort schwarz auf weiss was dein Server an UDP Flooding verbricht !!
Bitte warten ..
Mitglied: daimeon
21.02.2011 um 20:19 Uhr
Öm, das ist ein Linux-Server
Bitte warten ..
Mitglied: kristov
22.02.2011 um 08:30 Uhr
Hallo,

schau mal Deine access.log nach "auffälligen" Einträgen durch. Vielleicht hast Du ja die Information vom Provider, wann das in etwa gewesen sein soll, dann kannst Du den Zeitraum eingrenzen. Ich hatte mal einen Server, da war des öfteren folgender Eintrag zu finden (IP-Adressen von mir absurd geändert):
271.203.13.106 - - [18/Jan/2011:20:17:08 +0100] "GET /webdav/new.php?act=phptools&host=240.12.22.22&ip=240.12.22.22&time=30&port=27016 HTTP/1.1" 200 852 "-" "-"
Die erste IP war die von demjenigen, der das Skript aufgerufen hat, die beiden anderen die attackierte IP-Adresse (wurde zufällig im Skript generiert). new.php war natürlich das Skript, das aufgerufen wurde.

kristov
Bitte warten ..
Mitglied: LittleFlame
22.02.2011 um 09:56 Uhr
Vielleicht liege ich ja falsch, aber es existiert ein Wireshark für Linux.

Hilft dir zumindest dann, wenn das Problem weiterhin besteht.
Bitte warten ..
Mitglied: daimeon
22.02.2011 um 11:36 Uhr
Boah, doofe Frage, ich weiß.
Ich kann zum Verrecken keine acces.log finden.
Nur eine access_log in /var/log/apache2
die spuckt aber selten wenig aus.
Zum System:
Das ist OpenSuse 11
Bitte warten ..
Mitglied: aqui
23.02.2011 um 10:54 Uhr
@daimeon
Auch für Linux gibt es Wireshark ! Noch einfacher wäre allerdings tcpdump damit gehts auch mit Bordmitteln... !
Bitte warten ..
Mitglied: daimeon
23.02.2011 um 11:10 Uhr
@aqui:
Ja, das hab ich auch gefunden, über tcpdump bin ich ebenfalls gestolpert und verwende das jetzt.
Danke trotzdem
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Zuletzt benutzen Computer zu Benutzernamen finden (4)

Frage von joehuaba zum Thema Windows Server ...

Batch & Shell
Powershell Skript Ändern - Mehrere Hotfix IDs finden (1)

Frage von pixel0815 zum Thema Batch & Shell ...

Netzwerke
Neue MACs im Netzwerk automatisch finden (4)

Frage von MedicalAd zum Thema Netzwerke ...

Microsoft Office
gelöst Outlook 2013 - TS - Finden beim Schnelldruck Dateianlage nicht (10)

Frage von Deathack zum Thema Microsoft Office ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

LAN, WAN, Wireless
Rogue Access Point (20)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Webbrowser
Windows 7 unbeliebte Internetseite sperren (13)

Frage von Daoudi1973 zum Thema Webbrowser ...

E-Mail
Fake E-Mail in Outlook für Demonstartionszwecke (12)

Frage von sascha382 zum Thema E-Mail ...