Ich verwalte den Code und die Bereitstellungen für eine ASP.net-Site auf einem dedizierten Server. Windows 2008-64 R2, 8 GB RAM, Dual Core. Es handelt sich um eine dedizierte Intranet-Site, die nie viel Verkehr hat. Die meisten Leistungsprobleme, auf die wir stoßen, sind Speicherprobleme auf dem Server (die App muss manchmal Daten aus Excel-Dateien mit über 1 GB importieren und interpretieren oder große Datenmengen zum Einfügen in die Datenbank verarbeiten) oder in der Datenbank (aufgrund der oben genannten Einfügungen, manchmal in Verbindung mit Tabellensperren aufgrund von Daten, die gleichzeitig mit Einfügungen in dieselbe Tabelle aktualisiert werden).
Vor ein paar Tagen gab es einen sechsstündigen Zeitraum, in dem die Prozessormonitore auf der Site über den gesamten Zeitraum über 95 % ausgelastet waren. Die Website reagierte langsam und zeitweise war es unmöglich, überhaupt auf die Site zuzugreifen. Ich erhielt zweimal pro Minute E-Mails von unserem Überwachungsdienst über die anhaltende Überlastung des Prozessors, aber abgesehen von ein paar Alarmen, die sich nicht wiederholten, gab es keine Probleme mit Speichermangel. Und aus Benutzersicht gingen Berichte ein, die darauf hinwiesen, dass die Upload-Bandbreite viel langsamer als normal war.
Ich habe die Windows-Protokolle überprüft – nichts Ungewöhnliches. Ich habe meine internen Protokolle auf der Site auf Aktivitäten innerhalb der Site überprüft, die dafür verantwortlich sein könnten, und auch dort gab es nichts, was das schlechte Verhalten erklären könnte (oder auch nur etwas, das den Speichermangel erklären könnte). Ich muss also immer noch nach einer Ursache für dieses Server-Ereignis suchen (es hat sich ganz plötzlich von selbst aufgeklärt).
Die einzige andere Erklärung, die mir einfällt, ist ein DDOS-Angriff. Die gesamte Site ist passwortgeschützt, aber ich würde annehmen, dass, wenn während dieser Zeit genügend Verbindungen zur Homepage hergestellt würden, dies zu den mir bekannten Symptomen führen würde: dauerhaft hohe Prozessorauslastung (ohne Auswirkungen auf den Speicher, da die Anmeldeseite nicht dynamisch ist) und verringerte Bandbreite in beide Richtungen.
Kann ich irgendwie überprüfen, ob dies die Ursache war oder nicht? Gibt es Standardprotokolle in Windows Server oder IIS, die solche Informationen aufzeichnen? Können Sie sich eine andere Ursache vorstellen, die zu den von mir beschriebenen Symptomen führen könnte?
Antwort1
Hmm ... normalerweise werden Informationen zu DDoS-Angriffen am Rand von Websites mit Internetzugriff erkannt, also ... an der Firewall, die sie schützt. Ich weiß nicht, ob Sie viel über die Protokollierung vom Betriebssystem erfahren werden, es sei denn, es hat ernsthafte Ressourcenkonflikte verursacht. IIS hat möglicherweise etwas, und ich glaube, Sie werden feststellen, dass dies kein DDoS war, sondern etwas Anwendungsspezifisches, das zum Absturz geführt hat. Sie täten gut daran, eine Art Protokollierung der Prozesse und ihrer Ressourcennutzung einzurichten.