[sage] Traffic protokollieren
Martin Schröder
martin at oneiros.de
Fri May 22 15:47:37 CEST 2009
Am 2009-05-22 schrieb Florian Streibelt <florian.streibelt at guug.de>:
> Ansonsten: habt ihr da einen DNS laufen? Da gabs in letzter Zeit einige
> massive ddos via Anfragen nach "." die mit gefälschten source-IPs kamen.
Ja, aber das wars nicht. Da lief ein ntpd-pool-server. Wir vermuten
folgendes: Server landet im Pool, extrem viele Clients aus der Türkei
greifen in kurzer Zeit drauf zu, Server antwortet, Provider sieht das
als Portscan und klemmt automatisiert den Server ab. :-(
Mehr hier: http://fortytwo.ch/mailman/pipermail/timekeepers/2009/004702.html
Wenn der Provider uns das nächste mal abklemmen will, möchte ich ein
brauchbares Log haben. tcpdump sollte reichen.
Gruß
Martin
More information about the SAGE
mailing list