Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

UDP-Flooding Quelle finden

Frage Linux

Mitglied: daimeon

daimeon (Level 1) - Jetzt verbinden

21.02.2011, aktualisiert 15:00 Uhr, 3720 Aufrufe, 8 Kommentare

folgendes Problem:

Mein Provider wirft mir vor, von meinem Server sei ein UDP-Flooding ausgegangen.
Leider kann ich das nicht nachvollziehen, die Log-Dateien spucken in der Richtung nichts vernünftiges aus.
Ich habe die Firewall jetzt dahingehend geändert, das der per UDP gar nichts mehr rauslässt. Allerdings wäre es trotzdem klasse die Quelle der Störung zu finden um diese beseitigen zu können.

Ach ja: Perl habe ich ebenfalls vom Server entfernt, da ich das für nichts brauche.
Mitglied: LittleFlame
21.02.2011 um 15:55 Uhr
Hallo Daimeon,

was spricht dagegen, die Firewall kurz nochmal zu öffnen und das ganze per Wireshark mitzusniffen?
Dann bist du zumindest ein wenig schlauer, was den Inhalt der UDP-Pakete angeht und eventuell fällt dir dann sofort die Quelle ins Auge.

Grüße,

LittleFlame
Bitte warten ..
Mitglied: aqui
21.02.2011 um 18:20 Uhr
Außer Wireshark ist noch MS NetMonitor dein Freund:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
Das zeigt dir sofort schwarz auf weiss was dein Server an UDP Flooding verbricht !!
Bitte warten ..
Mitglied: daimeon
21.02.2011 um 20:19 Uhr
Öm, das ist ein Linux-Server
Bitte warten ..
Mitglied: kristov
22.02.2011 um 08:30 Uhr
Hallo,

schau mal Deine access.log nach "auffälligen" Einträgen durch. Vielleicht hast Du ja die Information vom Provider, wann das in etwa gewesen sein soll, dann kannst Du den Zeitraum eingrenzen. Ich hatte mal einen Server, da war des öfteren folgender Eintrag zu finden (IP-Adressen von mir absurd geändert):
271.203.13.106 - - [18/Jan/2011:20:17:08 +0100] "GET /webdav/new.php?act=phptools&host=240.12.22.22&ip=240.12.22.22&time=30&port=27016 HTTP/1.1" 200 852 "-" "-"
Die erste IP war die von demjenigen, der das Skript aufgerufen hat, die beiden anderen die attackierte IP-Adresse (wurde zufällig im Skript generiert). new.php war natürlich das Skript, das aufgerufen wurde.

kristov
Bitte warten ..
Mitglied: LittleFlame
22.02.2011 um 09:56 Uhr
Vielleicht liege ich ja falsch, aber es existiert ein Wireshark für Linux.

Hilft dir zumindest dann, wenn das Problem weiterhin besteht.
Bitte warten ..
Mitglied: daimeon
22.02.2011 um 11:36 Uhr
Boah, doofe Frage, ich weiß.
Ich kann zum Verrecken keine acces.log finden.
Nur eine access_log in /var/log/apache2
die spuckt aber selten wenig aus.
Zum System:
Das ist OpenSuse 11
Bitte warten ..
Mitglied: aqui
23.02.2011 um 10:54 Uhr
@daimeon
Auch für Linux gibt es Wireshark ! Noch einfacher wäre allerdings tcpdump damit gehts auch mit Bordmitteln... !
Bitte warten ..
Mitglied: daimeon
23.02.2011 um 11:10 Uhr
@aqui:
Ja, das hab ich auch gefunden, über tcpdump bin ich ebenfalls gestolpert und verwende das jetzt.
Danke trotzdem
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Batch & Shell
gelöst Dateien zusammenführen inkl. finden von doppelten Einträgen (3)

Frage von miczar zum Thema Batch & Shell ...

Debian
Kann Linux nicht im bios finden! (3)

Frage von pixelBf zum Thema Debian ...

Monitoring
gelöst Netzwerkproblem ( Auslastung) mit Wireshark finden (4)

Frage von Thekivi zum Thema Monitoring ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...