Administro el código y las implementaciones de un sitio ASP.net en un servidor dedicado. Windows 2008-64 R2, 8 GB de RAM, doble núcleo. Es un sitio de intranet dedicado que nunca tiene mucho tráfico. La mayoría de los problemas de rendimiento que encontramos son problemas de memoria en el servidor (la aplicación a veces tiene que importar e interpretar datos de archivos Excel de más de 1 GB, o procesar grandes cantidades de datos para insertarlos en la base de datos) o en la base de datos (de la base de datos antes mencionada). inserciones, a veces junto con el bloqueo de la tabla debido a que los datos se actualizan simultáneamente con las inserciones en la misma tabla).
Hace unos días, hubo un período de seis horas en el que los monitores del procesador en el sitio estuvieron por encima del 95% durante todo el período. La capacidad de respuesta del sitio web era lenta y, en ocasiones, era imposible acceder al sitio. Recibí correos electrónicos dos veces por minuto de nuestro servicio de monitoreo sobre la sobreutilización sostenida del procesador, pero aparte de un par de alarmas que no se repitieron, no hubo problemas por quedarme sin memoria. Y desde la perspectiva del usuario, llegaron informes que indicaban que el ancho de banda de carga era mucho más lento de lo normal.
Revisé los registros de Windows, nada fuera de lo común. Revisé mis registros internos en el sitio para detectar cualquier actividad en el sitio que pudiera explicar esto, y tampoco nada que explique el mal comportamiento (o incluso algo que podría haber explicado la falta de memoria). Así que todavía sigo buscando la causa de este evento del servidor (se solucionó por sí solo, muy repentinamente).
La única otra explicación que se me ocurre es un ataque DDOS. Todo el sitio está protegido con contraseña, pero creo que si se realizaran suficientes conexiones a la página de inicio durante este tiempo, se producirían los síntomas que conozco: alta utilización sostenida del procesador (sin ningún impacto en la memoria, ya que el la página de inicio de sesión no es dinámica) y disminución del ancho de banda en ambas direcciones.
¿Hay alguna forma de intentar verificar si esta puede haber sido o no la causa? ¿Algún registro predeterminado en Windows Server o IIS que registre información como esta? ¿Se le ocurre alguna otra causa que pueda provocar los síntomas que describí?
Respuesta1
Hrmm... normalmente la información de un ataque DDoS se detecta en el borde de los sitios de Internet, por lo que... el firewall que los protege. No sé si podrá iniciar sesión desde el sistema operativo a menos que cause algún tipo de problema grave de contención de recursos. Es posible que IIS tenga algo y, dicho esto, creo que descubrirá que no se trata de un DDoS, sino de algo específico de la aplicación que provocó un bloqueo. Haría bien en implementar algún tipo de registro de procesos y su uso de recursos.