Debian Linux Traffic identifizieren

Es gibt einige gute Tools die Sie unter Debian Linux verwenden können um schädlichen Traffic oder Flooding zu erkennen. Aus gegebenen Anlass war das Problem nicht die Erkennung von Spam-Mails die über Postfächer oder via PHP und Sendmail gesendet wurden, sondern die Erkennung von Flooding bzw. Traffic-Spitzen.

Traffic Diagnose

Wir müssen zuerst identifizieren woher der Traffic kommt und ob dieser legitim ist. Beispielsweise könnten viele Besucher gerade Videos über den Server streamen was legitimer Traffic wäre.

Server penetration testing tools

Testweise können Sie mit dem weit verbreiteten DDos Tool „Low Orbit Ion Cannon“ (LOIC) ein Flooding auf Ihren Server starten und die Funktionsweise der Tools zu überprüfen. Über LOIC können HTTP, UDP und TCP Requests an einen beliebigen Server gesendet werden.

Achtung. Wenn Ihr Server über eine Hardware-Firewall oder eine Software-Firewall wie bei Parallels Plesk verwendet kann es passieren, dass Ihre IP-Adresse über die Firewall gesperrt wird. Natürlich können Sie von einer anderen IP-Adresse in diesem Fall wieder auf den Server Zugriff erlangen sollte der Server über keine IP-Adressen-Beschränkung verfügen. Im eigenen Haus können Sie dies einfach über IP-Spoofing mit diversen VPN-Tools (Tor) erreichen.

Debian Linux Traffic Tools

Folgende Debian Linux Programme können zum identifizieren von schädlichem Traffic verwendet werden.

  • nload
  • iftop
  • ps aux
  • lsof -i -n
  • vnstat
  • darkstat

nload

Zum generellen Traffic-Monitoring sehr gut geeignet. Wir sehen ein- und ausgehenden Traffic des gewählten Netzwerk-Adapters.

iftop

Meiner Meinung nach eines der besten Tools weil wir die Quell- und Ziel-IP-Adressen von großen Transfers sehen und genauer analysieren können. Das Transfervolumen wird als Balken hinter der Adresse dargestellt.

Wichtige iftop Befehle

  • n – toggle DNS host resolution
  • s – toggle show source host
  • d – toggle show destination host
  • t – cycle line display mode

Verwenden Sie den Schalter ’n‘ um die DNS Auflösung für die Quell-IP-Adresse abzuschalten und die IP Adresse anzuzeigen.

ps

Prozessliste unter Linux

vnstat

darkstat

Darkstat ist so ähnlich wie ntop, wurde allerdings mit dem Ziel entwickelt weniger Speicher zu benötigen und stabiler zu laufen als ntop. Wie ntop kann darkstat über ein Webinterface bedient werden. Die dort angezeigten statistischen Daten beziehen sich auf die an der Kommunikation beteiligten Hosts, dem verursachten Traffic und den benutzten Ports bzw. den Übertragungsprotokollen. Weiters können Diagramme in Bezug auf die erfassten Perioden und eine kurze Zusammenfassung der analysierten Datenpakete seit Programmstart betrachtet werden.

Darkstat muss zunächst konfiguriert werden. Lesen Sie dazu weiter in diesem Artikel: Darkstat installieren und konfigurieren

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

Eine Reaktion zu Debian Linux Traffic identifizieren

  1. Chris
    07.11.2014 at 11:01 · Antworten

    Tolles Tool! Direkt mal ausprobiert.
    Ich habe direkt mal einen Schädling ausmachen können – zum Glück nur auf einem Testsystem. Kam wohl irgendwie über Elasticsearch ins Sys -.-

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.