Ich wurde kürzlich von meinem Überwachungsdienst darüber benachrichtigt, dass einige Windows 2008-Server (Hyper-V-Instanzen) ausgefallen waren.
Ich habe mich bei der Hyper-V-Box angemeldet und festgestellt, dass alles super langsam war. Ich habe den Task-Manager geöffnet und festgestellt, dass CPU und RAM zwar in Ordnung waren, die Netzwerkauslastung auf unserer „öffentlichen“ Netzwerkkarte jedoch bei 99 % lag.
Dies dauerte etwa 10 Minuten. Während dieser Zeit stellte ich fest, dass die Netzwerksättigung auf ein normales Niveau sank, als ich die eingehenden Verbindungen für einen der Server deaktivierte. Ich deaktivierte die eingehenden Verbindungen dieses Servers, damit die anderen Server weiterarbeiten konnten, und irgendwann hörte der Datenverkehr auf.
Ich vermute, dass es sich um einen DDOS- oder normalen Denial-of-Service-Angriff handelte, aber es scheint ziemlich zufällig zu sein. Der fragliche Server ist sehr unauffällig und es würde nicht viel bringen, wenn ihn jemand lahmlegt.
Wie kann ich am besten feststellen, ob ich einem DDOS-Angriff ausgesetzt bin? Können Sie sich noch andere Ursachen dafür vorstellen und wenn ja, worauf sollte ich achten?
EDIT: Das ist wieder passiert. Ich habe netstat -noa ausprobiert, aber nichts Nützliches gefunden. Ich hatte gehofft, dass es einen Befehl oder ein Programm gibt, das ich ausführen kann und das mir zeigt, wie viel Bandbreite jede IP nutzt (d. h., es heißt, die Netzwerkauslastung betrage 100 %, aber wie passt das zusammen). Gibt es so etwas?
Antwort1
Vielleicht hilft das?
Erkennen von DoS-/DDoS-Angriffen auf einen Windows 2003/2008-Server
netstat ist ein Befehlszeilenprogramm, das Protokollstatistiken und aktuelle TCP/IP-Netzwerkverbindungen in einem System anzeigt. Geben Sie den folgenden Befehl ein, um alle Verbindungen anzuzeigen:
netstat -noaWo,
- n: Zeigt aktive TCP-Verbindungen an, allerdings werden Adressen und Portnummern numerisch ausgedrückt und es wird kein Versuch unternommen, Namen zu ermitteln.
- o: Zeigt aktive TCP-Verbindungen an und enthält die Prozess-ID (PID) für jede Verbindung. Sie finden die Anwendung anhand der PID auf der Registerkarte „Prozesse“ im Windows Task-Manager.
- a: Zeigt alle aktiven TCP-Verbindungen und die TCP- und UDP-Ports an, auf denen der Computer lauscht.
Antwort2
Server werden normalerweise über Verbindungen und nicht über Pakete angegriffen.
Eine vollständige Auslastung des Netzwerkpfads ist daher nicht immer erforderlich.
Handelte es sich bei Ihrem Angriff um einen DDoS/DoS-Angriff, sollte Ihr IDS im eingehenden Pfad ausgelöst worden sein (vorausgesetzt, Sie verfügen über eines).
Da Sie sagen, dass es sich um einen Webserver mit geringer Sichtbarkeit handelte, könnte es sein, dass ihn jemand innerhalb oder außerhalb Ihres Unternehmens mit einer wgetAktivität mit voller Geschwindigkeit spiegelt? Das würde Ihr HyperV-System drosseln, wenn Sie über ausreichend Bandbreite auf Ihrem Uplink verfügen. Es würde auch einen kurzlebigen „Angriff“ erklären.
Antwort3
Folgendes fand ich inTCP/IP-Protokolle und -Dienste für Windows Server 2008.
Um einen laufenden SYN-Angriff auf einem Computer mit Windows Server 2008 oder Windows Vista anzuzeigen, verwenden Sie das Tool Netstat.exe in einer Eingabeaufforderung, um die aktiven TCP-Verbindungen anzuzeigen. Beispiel:
Dies ist ein Beispiel für einen SYN-Angriff. Es gibt eine Reihe von TCP-Verbindungen im Status SYN_ RECEIVED, und die Fremdadresse ist eine gefälschte private Adresse mit inkrementell steigenden TCP-Portnummern. SYN_RECEIVED ist der Status einer TCP-Verbindung, die ein SYN empfangen, ein SYN-ACK gesendet hat und auf das letzte ACK wartet.
was verwirrend ist, weil es später heißt:
TCP in Windows Server 2008 und Windows Vista verwendet einen SYN-Angriffsschutz, um zu verhindern, dass der Computer durch einen SYN-Angriff überlastet wird.
... wenn das also der Fall ist, wie würde der obige Befehl helfen?