最近、監視サービスから、いくつかの Windows 2008 サーバー (hyper-v インスタンス) がダウンしているとの通知を受けました。
Hyper-V ボックスにログインすると、すべてが非常に遅いことに気付きました。タスク マネージャーを開くと、CPU と RAM は正常でしたが、「パブリック」NIC のネットワーク使用率は 99% でした。
この状態は約 10 分間続きましたが、その間に、サーバーの 1 つに対する受信接続を無効にすると、ネットワークの飽和状態が通常のレベルまで低下することがわかりました。そのサーバーの受信接続を無効にして、他のサーバーが動作できるようにしたところ、最終的にトラフィックはなくなりました。
これは DDOS または通常のサービス拒否攻撃ではないかと考えていますが、かなりランダムなようです。問題のサーバーは可視性が非常に低く、誰かがそれを停止しても大きな価値は生まれません。
DDOS 攻撃を受けているかどうかを確認する最も良い方法は何でしょうか? 他に考えられる原因はありますか? もしあるとしたら、何に注意すればよいでしょうか?
編集: 同じことがまた起こりました。netstat -noa を試してみましたが、役に立つものは何も見つかりませんでした。各 IP が使用している帯域幅を表示できるコマンドやプログラムがあればいいなと思っています (つまり、ネットワーク使用率は 100% と表示されますが、これはどのように加算されるのでしょうか)。そのようなものはありますか?
答え1
これが役に立つでしょうか?
Windows 2003 / 2008 サーバーでの DoS / DDoS 攻撃の検出
netstat は、システム内のプロトコル統計と現在の TCP/IP ネットワーク接続を表示するコマンド ライン ユーティリティです。すべての接続を表示するには、次のコマンドを入力します。
netstat -noaどこ、
- n: アクティブな TCP 接続を表示しますが、アドレスとポート番号は数値で表現され、名前の判別は行われません。
- o: アクティブな TCP 接続を表示し、各接続のプロセス ID (PID) を含めます。Windows タスク マネージャーの [プロセス] タブで、PID に基づいてアプリケーションを見つけることができます。
- a: すべてのアクティブな TCP 接続と、コンピューターがリッスンしている TCP ポートおよび UDP ポートを表示します。
答え2
サーバーは通常、パケットではなく接続によって DoS 攻撃を受けます。
そのため、ネットワーク パスを完全に利用する必要は必ずしもありません。
DDoS/DoS 攻撃だった場合は、受信パスで IDS がトリップしているはずです (IDS がある場合)。
可視性の低い Web サーバーだと言うので、企業内外の誰かがフル レートのwgetアクティビティでそれをミラーリングしている可能性はありますか? アップリンクに十分な帯域幅がある場合、HyperV システムが停止することになります。また、短時間の「攻撃」の説明にもなります。
答え3
私は次のものを見つけましたWindows Server 2008 TCP/IP プロトコルとサービス。
Windows Server 2008 または Windows Vista を実行しているコンピューターで進行中の SYN 攻撃を確認するには、コマンド プロンプトで Netstat.exe ツールを使用して、アクティブな TCP 接続を表示します。例:
これは SYN 攻撃の例です。SYN_RECEIVED 状態の TCP 接続が多数あり、外部アドレスは TCP ポート番号が徐々に増加する偽装されたプライベート アドレスです。SYN_RECEIVED は、SYN を受信し、SYN-ACK を送信し、最終 ACK を待機している TCP 接続の状態です。
これは混乱を招きます。なぜなら、後でこう書かれているからです。
Windows Server 2008 および Windows Vista の TCP は、SYN 攻撃保護を使用して、SYN 攻撃がコンピューターに過負荷をかけるのを防ぎます。
...そうだとしたら、上記のコマンドはどのように役立つのでしょうか?