ddos missbrauch herausfinden

  • Hallo,
    wie finde ich heraus, ob mein Server für ddos missbraucht wird?
    Ich installiere alle Updates und lasse rkhunter regelmäßig laufen - ausserdem würde ich sagen, dass mein Server recht gut abgesichert ist, aber gibt es eine Möglichkeit um herauszufinden ob von meinem Server aus ein Angriff läuft?


    iftop ist unauffällig und der generierte traffic ist gering. (sind das gute Zeichen ? )
    Bei einem ddos würde ich erwarten, dass viel Traffic generiert wird oder?
    Mfg
    Philipp

  • iftop hilft da nur wenn dir niemand ein Rootkit untergeschoben hat.
    Wenn dies der Fall ist, werden alle Programme mit denen Du das prüfen kannst falsche Werte liefern.


    Du kannst rkhunter mal aus dem Rettungssystem heraus für die ansprechende Partition laufen lassen.
    Nicht rkhunter aus deinem Echtsystem nutzen! Installiere es im Rettungssystem.


    Ansonsten sieht man das eigentlich an den Trafficwerten im VCP.
    Und die Tatsache das Du noch keine Email von NC bekommen hast ist auch ein gutes Zeichen. :P

  • Bei einem ddos würde ich erwarten, dass viel Traffic generiert wird oder?


    DDoS Steht für Distributed Denial of Service. im Vergleich zu einem einfachen DoS wird der Angriff von sehr vielen Quellen ausgeführt, was zur Folge haben kann, dass ein einzelner Host gar nicht so viel Traffic erzeugt. Es Macht eben einen Unterschied ob z.b. ein Gesamtvolumen von 500mbit/s von einem Host oder von 5000 Hosts generiert wird.