Hier ist es sinnvoll, bedrohte Services mit einem Uptime-Service zu beobachten. Gibt es einen DoS- oder DDoS-Angriff? Zuerst muss ermittelt werden, ob es sich um einen DDoS-Angriff handelt. 2. Wenn die Verkehrsgrafik bereits vergrößert ist und wie üblich viel mehr Verkehr durch den Datenserver fließt, ist etwas nicht in Ordnung.
Der Datenverkehr kann dann auf dem eigenen Rechner beobachtet werden. Diese ist rasch eingerichtet und sollte bei der Grundinstallation des Rechners berücksichtigt werden: Mit dem " IP-Verkehrsmonitor " können Sie den Netzwerkverkehr über die Netzschnittstelle verfolgen. Zusätzlich sollten Sie mit "netstat" überprüfen, ob diese Verbindung auf TCP-Verbindungen wartet.
DoS- und DDoS-Angriffe sind Anforderungen an den Web-Server, aber sie verlangen keine Gegenmaßnahmen. Sie müssen wissen, dass ein Web-Server nur eine gewisse Zahl von eingegangenen Requests akzeptieren und bearbeiten kann. Nach der Auslieferung der Seite an einen Webbrowser wird dieser in der Regel beendet und der Web-Server kann sich um die nächste Anforderung kümmern.
Hierbei lassen die Täter die Verbindung offen, so dass der Mailserver keine weiteren Anforderungen mehr entgegennehmen kann. In der Regel gibt es einige Requests mit TIME_WAIT. Dabei handelt es sich entweder um Mandanten, die noch auf die Ausgaben des Servers oder auf die Überwachung der internen Prozesse warten. 2. Dieses Kommando kann von einem angegriffenen Rechner verwendet werden, um herauszufinden, wie viele Rechner wie viele Anschlüsse offen halten:
Dieser Befehl gibt eine Auflistung aller IPs mit dem Zustand "TIME_WAIT" aus. Mit Hilfe von Microsoft Explorer kann ein Kunde bis zu 8 verschiedene Internetverbindungen offen haben. Ist die Zahl der geöffneten Anschlüsse wesentlich höher, könnte dies ein Angriff auf ein DoS oder DDoS sein.
Normalerweise bleiben bei diesen Mandanten 30 oder mehr Anschlüsse offen. Dies ist bei einem DDoS-Angriff jedoch nicht sehr nützlich, da die Attacken von einer großen Anzahl von Klienten kommen. Allerdings stellt Iptables automatisierte Verfahren zur Verfügung, die Handlungen gemäß den geltenden Vorschriften ausführt. Das folgende Kommando ist bei einem DDoS-Angriff nützlich und kann auch vorab als Vorbeugung durchgeführt werden.
Durch dieses iptables Statement kann der Netzserver bereits jetzt erleichtert werden. Es ist jedoch zu berücksichtigen, dass alle Requests eines DoS/DDoS-Angriffs auf den Datenserver durchgehen und nur dort abgelegt werden. Das Verkehrsaufkommen ist gleich geblieben. Im Falle größerer Angriffe, die die Serverbandbreite nutzen, kann nur der Anbieter eingreifen, indem er z.B. eine Regel unmittelbar am Schalter einrichtet oder eine Brandmauer vor dem Rechner einrichtet: