msco 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Hallo , Wie kann ich verstehen ob eine DNS attacke auf Windowsserver gibt. Und die Attacke ip`s wie kann ich diese finden ? Ich habe ein Windows 2003 Server mit plesk 8.2 , Ich benutze die Bind DNS. Ich frage , weil bei meinen Webseiten folgendes angezeigt wird . "Die Webseite kann nicht angezeigt werden " Ich restarte die Bind DNS danacah funktionieren die Webseiten wieder . Aber in 3-5 Minuten sind die Webseiten wieder down . Vor 2-3 Tagen habe ich Brute Force Attacken auf meiner FTP server bekommen. Jetzt glaube ich, dass ich DNS attacken bekomme . Kann jemand vielleicht helfen ? Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Hmmm, zu den verschiedenen BIND-Versionen gibt es Patches. Sie diese eingespielt? Wenn Du den Server in einenm RZ (z.B. Strato) bestreibst, hast Du den Provider informiert? Zitieren Link zu diesem Kommentar
msco 10 Geschrieben 16. Januar 2009 Autor Melden Teilen Geschrieben 16. Januar 2009 Hallo, Patches habe ich nicht eingespielt. Ja ich habe mein Provider informiert "Keyweb Ag" aber Sie helfen nicht. Sie sagen nur , . das Blocken der Angreifer IP's ist auf Grund der Anzahl leider nicht möglich. Sie haben hier nur die Möglichkeit Ihre Domain auf die 2. IP zuschalten. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Hi, patche deinen BIND DNS-Server, dann sollte das Problem behoben sein! Zitieren Link zu diesem Kommentar
msco 10 Geschrieben 16. Januar 2009 Autor Melden Teilen Geschrieben 16. Januar 2009 Hallo Daniel, wenn du mit pathcen update meinst , dann habe ich gerade die letze version (Bind 9.6.0p1) installiert. Allerdings ich denke nicht , dass es was bringt. Weil eine gruppe macht seit einer Woche immer unterschiedliche attacken auf meinen Server. Ftp Brute force , mssql brute force und dns etc.. Deswegen kann es sein , dass ich noch weitere hilfe von euch brauche. Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Hallo, Patches habe ich nicht eingespielt. Ja ich habe mein Provider informiert "Keyweb Ag" aber Sie helfen nicht. Sie sagen nur , . das Blocken der Angreifer IP's ist auf Grund der Anzahl leider nicht möglich. Sie haben hier nur die Möglichkeit Ihre Domain auf die 2. IP zuschalten. das ist auch leider nicht so einfach, bei sowas zu helfen. der provider kann dann leider nur die IP des Servers sperren, der angegriffen wird, was automatisch passiert, sobald die Paketzahl zu schnell ansteigt. Die Angreifer IPs zu sperren ist nicht möglich. Und leider kann man seinen Server auch nur schwer immun gegen einen Flood oder DDos oder so machen, wenn eine gezielte DDoS Attacke kommt, geht JEDER Server in die Knie, wenn nicht vorher Schutzmechanismen im Netzwerk diesen Angriff vom Server abhalten. Aber auch da ist es schwer für den Provider zu erkennen, WANN ein Angriff erfolgt, weil nicht jeder Anstrieg der Paketanzahl ist gleich eine Attacke. Wenn man Ziel einer Attacke ist, wäre eine Option noch, zu versuchen einen Angreifer zu identifizieren, indem man auf dem betroffenden Server ein TCPDump oder Wireshark oder sowas in der Art mitlaufen lässt und wenn ein Angriff stattfindet (erkennt man am massiven Auftreten einzelner IPs mit ähnlichen Anfragen), dass man dann diese IPs zurückverfolgt (tracert) und unter Umständen kommen mehrere von ihnen aus einem größeren anderen Netzwerk, sodass man einen Anhaltspunkt hätte. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Der sollte am besten erst einmal vom Netz. Vielleicht beruhigt sich das ganze dann wieder. Zitieren Link zu diesem Kommentar
msco 10 Geschrieben 16. Januar 2009 Autor Melden Teilen Geschrieben 16. Januar 2009 Danke für eure Hilfe und Antworten . Die letzten (Dns) attacken erfolgten zwischen heute 11 Uhr und 11:30 . Einige Adressen habe ich bei den Ftp Brute force attacken vor 3 Tagen ausfindig machen können . Einige war zB. vom 1&1 die andere war Newmedia Gmbh . Bei der Firewall ich habe diese Ip s sofort blockiert. Aber bringt nichts weil sie viele attacke server haben. Zur info noch ich habe auf meinem Server Deerfield visnetic firewall . Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 ein fall für fail2ban/knockd - möglicherweise gibts derartige lösungen auch für windows? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Da hilft dann nur eine intelligente Firewall, die sowas erkennt und blockt, denke ich. Mal bei Checkpoint oder Symantec geschaut ? Eventuell kann der ISA-Server auch sowas. -Zahni Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 gibt es Firewalls mittlerweile, die das zuverlässig erkennen? Mir selbst ist noch keine untergekommen. Zudem das nur die Sicherheit des Servers schützt, dass bei der Attacke kein Eindringen in den server möglich ist. Aber der Load vom Netzwerk belastet den Server so oder so und wird ihn früher oder später in die Knie zwingen, egal ob die Firewall die Pakete blockt oder nicht. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Schau mal hier: Network Security Software ? Firewall Security, VPN and Unified Threat Management und suche Dir as aus. Natürlich wird eine Firewall mit (z.B.) signaturbasiertem Intrusion prevention vor den Servern installiert. Damit der in Ruhe gelassen wird. -Zahni Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 diese Lösung muss man sich aber erstmal leisten können ;) vorallem da es hier um einen Server geht, der bei einem Webhoster steht, also der Threadersteller selbst hat nichtmal direkten Zugriff auf den Server. Es steht also in der Pflicht des Providers, da für eine Absicherung zu sorgen, welche natürlich nicht perfekt funktionieren KANN. Und die Firewall muss auch erstmal den Traffic verarbeiten können, möchte mal so ne Hardwarefirewall sehen, wenn die reale 1GBit oder mehr an Traffic prüfen, verarbeiten und blocken usw muss. Da verrecken definitiv auch die meisten Hardwarefirewalls irgendwann, wenn es nicht gerade die extrem guten Lösungen sind, wo man dann aber auch mal locker seine 20k€ los wird. Zitieren Link zu diesem Kommentar
Dexx 10 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 Hi msco, Firewall ist das Stickwort, wie ist dein Netz aufgebaut? Kannst du Hardwarefirewalls einsetzen oder nur softwarebassierende? Bei Firewalls wie z.B. Cisco oder CheckPoint (je nach Ausführung) kannst Thresholds für div. Protokolle angeben, das bedeutet, das wenn dieser Threshold überschritten wird (z.B. Dns - Anfragen) die Quelle geblockt wird. Gruß Andi Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 er hostet bei einem Webhoster, d.h. er selbst kommt nichtmal an seinen Server physikalisch ran...Hardwarefirewall wäre möglich muss dann aber mit dem Provider abgesprochen werden (eigene Firewall stellen). und wie gesagt, zeig mir bitte mal eine bezahlbare Firewalllösung, die bis zu mehreren GBbit pro Sekunde an Traffic blocken kann, ohne selbst in die Asche zu gehen. im bezahlbaren Bereich (maximal kleinerer 4stelliger Bereich) die Lösungen haben dann einfach einen Load von weit über 1 und das ist dann auch wie ein Disconnect. Aber ok, dem Server dahinter passiert wenigstens nichts :D Der Provider sorgt ja dafür, dass ein Grobschutz besteht, dieser muss aber auch einen gewissen Schwellwert haben, und damit kann halt schon recht viel von einer Attacke in der Anfangsphase noch zum Server durchkommen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.