DOS und DDoS Angriff erkennen
Woran erkennt man einem DDoS Angriff auf den eigenen Webserver?
DDoS= Distributed Denial of Service
Dabei rufen viele Client-Geräte gleichzeitig eine Webseite auf.
DoS= Denial of Service
Dabei ruft ein Angreifer mehrfach die gleiche Webadresse sehr oft auf
1 Remotedesktop Verbindung geht nicht
Der Remote Server auf dem die Webseite gehostet wird, antwortet nicht mehr. Die Webseite erscheint nicht mehr bei Eingabe einer URL im Browser.
Man kann nicht mehr über Remote Desktop darauf zugreifen und der
2 IIS Server Log-Files
Wenn man noch zugriff auf den Webserver bekommt und der Webserver Log-Files geschrieben hat, dann kann man die Logfiles einfach auf die Größe prüfen
Falls die Datei plötzlich aussergewöhnliche Größen annimmt, dann handelt es sicher um einen DDos angriff.
In den Logfiles werden bei jedem Aufruf einer Webseite ein Eintrag über die aufrufenden Client-Browser oder Roboter mit der IP des Aufrufers erstellt.
Die Logfiles werden beim
IIS Internet Information Server in eigenen Log-Verzeichnissen pro Stunde oder pro Tag zusammengefasst.
Die Einstellungen findet man in den Einstellungen unter der IIS Managment Software.
3 Ping
Als Gegenkontrolle kann man prüfen, ob der Webserver noch über einen Ping erreichbar ist.
Hierzu Ping in Windows 10 eingeben und in der Eingebekonsole Ping webseite eingeben.
Wenn der Ping nur noch mit Zeitüberschreitung der Anforderung antwortet, dann ist der Server auch nicht über das IP Protokoll mehr erreichbar und somit wirklich getrennt.
Recovery-Modus
Falls sich der Webserver im Recovery-Modus befindet, dann wird ebenfalls keine Ping Antwort zurück gegeben.
Der Recovery oder Notfall Modus wird beim Webhoster in der Konfigurationsseite vom Kunden selbst eingeschaltet.