In den letzten Tagen waren wir mit einem möglichen Syn-Flooding-DOS-Angriff konfrontiert. Dieser Angriff findet zweimal täglich statt (nachmittags und nachts). Eine zufällige IP in unserem Netzwerk wird aktiv (obwohl das System, dem die IP zugewiesen ist, inaktiv/heruntergefahren ist) und sendet Tausende von Paketen pro Sekunde. Jedes Mal ist es eine neue IP und beim Überprüfen der Systeme, denen die IPs zugewiesen wurden, finden wir keinerlei Spuren von Aktivität. In einigen Fällen zeigten Systemprotokolle, dass das System heruntergefahren war, als dieser Angriff stattfand. Auch der Virenschutz konnte auf diesen Systemen nicht viel erkennen. Nmap und Ping an diese IPs funktionieren auch nicht, wenn der Angriff aktiv ist. Details zu diesen Angriffen haben wir über den Websuchbericht unserer Firewall gefunden. Wir haben gesehen, dass IPs innerhalb von Stunden Millionen von Zugriffen auf einige der Websites gesendet haben und dabei fast 100 GB auf einmal verbraucht haben (Hinweis: Der Angriff wird zu einem bestimmten Zeitpunkt nur von einer IP ausgeführt). Derzeit blockieren wir diese IPs nach jedem Angriff einzeln, was nicht machbar ist. Das führt zu der Frage. Antworten und Vorschläge sind sehr willkommen. Wie können wir diese Angriffe frühzeitig erkennen? Wie können wir diese Angriffe stoppen? Welche vorbeugenden Maßnahmen können wir ergreifen, um sicherzustellen, dass dies in Zukunft nicht mehr vorkommt? Referenzbild: -Live-DOS-Angriffspaketfluss
