Recientemente mi servicio de monitoreo me notificó que algunos servidores de Windows 2008 (instancias Hyper-V) estaban inactivos.
Inicié sesión en Hyper-V y noté que todo iba muy lento. Abrí el administrador de tareas y vi que, si bien la CPU y la RAM estaban bien, la utilización de la red en nuestra NIC "pública" era del 99%.
Esto duró unos 10 minutos, tiempo durante el cual descubrí que deshabilitar las conexiones entrantes para uno de los servidores provocó que la saturación de la red cayera a niveles normales. Desactivé las conexiones entrantes de ese servidor para permitir que los otros servidores funcionaran y, finalmente, el tráfico desapareció.
Sospecho que se trata de un ataque DDOS o de denegación de servicio normal, pero parece bastante aleatorio. El servidor en cuestión tiene muy poca visibilidad y no obtendría mucho valor si alguien lo eliminara.
¿Cuál sería la mejor manera de saber si estoy sufriendo un ataque DDOS? ¿Hay algo más que se le ocurra que pueda causar esto y, de ser así, qué debo buscar?
EDITAR: Esto sucedió de nuevo. Probé netstat -noa pero no vi nada útil. Esperaba que hubiera algún comando o programa que pudiera ejecutar y que me mostrara cuánto ancho de banda está usando cada IP (es decir, dice que la utilización de la red es del 100%, pero ¿cómo se suma eso)? ¿Existe algo así?
Respuesta1
¿Tal vez esto ayude?
Detección de ataques DoS/DDoS en un servidor Windows 2003/2008
netstat es una utilidad de línea de comandos que muestra estadísticas de protocolo y conexiones de red TCP/IP actuales en un sistema. Escriba el siguiente comando para ver todas las conexiones:
netstat -noaDónde,
- n: muestra las conexiones TCP activas; sin embargo, las direcciones y los números de puerto se expresan numéricamente y no se intenta determinar los nombres.
- o: Muestra las conexiones TCP activas e incluye el ID del proceso (PID) para cada conexión. Puede encontrar la aplicación basada en el PID en la pestaña Procesos en el Administrador de tareas de Windows.
- a: Muestra todas las conexiones TCP activas y los puertos TCP y UDP en los que la computadora está escuchando.
Respuesta2
Los servidores suelen recibir DoS con conexiones en lugar de paquetes.
Por lo tanto, no siempre es necesaria una utilización completa de la ruta de red.
Si el suyo era un DDoS/DoS, debería haber activado su IDS en la ruta de entrada (suponiendo que tenga uno).
Dado que dice que era un servidor web de baja visibilidad, ¿podría ser alguien dentro o fuera de su empresa que lo refleje con un wgettipo de actividad de velocidad completa? Eso ahogaría su sistema HyperV si tiene suficiente ancho de banda en su enlace ascendente. También explicaría un "ataque" de corta duración.
Respuesta3
Encontré lo siguiente enProtocolos y servicios TCP/IP de Windows Server 2008.
Para ver un ataque SYN en progreso en una computadora que ejecuta Windows Server 2008 o Windows Vista, use la herramienta Netstat.exe en el símbolo del sistema para mostrar las conexiones TCP activas. Por ejemplo:
Este es un ejemplo de un ataque SYN. Hay varias conexiones TCP en el estado SYN_RECEIVED y la dirección externa es una dirección privada falsificada con números de puerto TCP que aumentan progresivamente. SYN_RECEIVED es el estado de una conexión TCP que recibió un SYN, envió un SYN-ACK y está esperando el ACK final.
lo cual es confuso, porque luego dice:
TCP en Windows Server 2008 y Windows Vista utiliza protección contra ataques SYN para evitar que un ataque SYN abrume la computadora.
... entonces, si ese es el caso, ¿cómo ayudaría el comando anterior?