최근 모니터링 서비스를 통해 몇 대의 Windows 2008 서버(Hyper-V 인스턴스)가 다운되었다는 알림을 받았습니다.
Hyper-V 상자에 로그인했는데 모든 것이 매우 느린 것을 발견했습니다. 작업 관리자를 열고 CPU와 RAM은 괜찮지만 "공용" NIC의 네트워크 활용도는 99%인 것을 확인했습니다.
이는 약 10분 동안 지속되었으며, 그 동안 서버 중 하나에 대한 인바운드 연결을 비활성화하면 네트워크 포화도가 정상 수준으로 떨어지는 것을 발견했습니다. 다른 서버가 작동할 수 있도록 해당 서버의 인바운드 연결을 비활성화했고 결국 트래픽이 사라졌습니다.
나는 이것이 DDOS 또는 일반적인 서비스 거부 공격이라고 생각하지만 꽤 무작위적인 것 같습니다. 문제의 서버는 가시성이 매우 낮으며 누군가가 서버를 제거해도 많은 가치를 얻을 수 없습니다.
DDOS 공격을 받고 있는지 확인하는 가장 좋은 방법은 무엇입니까? 이 문제를 일으킬 수 있다고 생각할 수 있는 다른 것이 있습니까? 그렇다면 무엇을 찾아야 합니까?
편집: 이런 일이 또 일어났습니다. netstat -noa를 시도했지만 유용한 것을 찾지 못했습니다. 나는 각 IP가 얼마나 많은 대역폭을 사용하고 있는지 보여줄 수 있는 몇 가지 명령이나 프로그램이 있기를 바랐습니다. 즉, 네트워크 활용도가 100%라고 나와 있지만 그 합산은 어떻게 됩니까? 그런 것이 존재합니까?
답변1
이것이 도움이 될까요?
Windows 2003/2008 서버에서 DoS/DDoS 공격 탐지
netstat는 시스템의 프로토콜 통계와 현재 TCP/IP 네트워크 연결을 표시하는 명령줄 유틸리티입니다. 모든 연결을 보려면 다음 명령을 입력하십시오.
netstat -noa어디,
- n: 활성 TCP 연결을 표시하지만 주소와 포트 번호는 숫자로 표시되며 이름을 확인하려고 시도하지 않습니다.
- o: 활성 TCP 연결을 표시하고 각 연결에 대한 프로세스 ID(PID)를 포함합니다. Windows 작업 관리자의 프로세스 탭에서 PID를 기반으로 애플리케이션을 찾을 수 있습니다.
- a: 모든 활성 TCP 연결과 컴퓨터가 수신 중인 TCP 및 UDP 포트를 표시합니다.
답변2
서버는 일반적으로 패킷이 아닌 연결을 통해 DoS를 받습니다.
따라서 네트워크 경로를 완전히 활용할 필요가 항상 있는 것은 아닙니다.
귀하의 공격이 DDoS/DoS라면 인바운드 경로에서 귀하의 IDS를 작동시켰을 것입니다(귀하에게 IDS가 있다고 가정).
가시성이 낮은 웹 서버라고 하셨는데, 기업 내부 또는 외부의 누군가가 최대 속도 wget의 활동으로 이를 미러링할 수 있습니까? 업링크에 충분한 대역폭이 있으면 HyperV 시스템이 질식하게 됩니다. 그것은 또한 단기간의 '공격'을 설명할 것이다.
답변3
나는 다음을 발견했습니다Windows Server 2008 TCP/IP 프로토콜 및 서비스.
Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에서 진행 중인 SYN 공격을 보려면 명령 프롬프트에서 Netstat.exe 도구를 사용하여 활성 TCP 연결을 표시하십시오. 예를 들어:
이것은 SYN 공격의 예입니다. SYN_ RECEIVED 상태에는 다수의 TCP 연결이 있으며, 외부 주소는 TCP 포트 번호가 점차 증가하는 스푸핑된 개인 주소입니다. SYN_RECEIVED는 SYN을 수신하고 SYN-ACK를 전송하며 최종 ACK를 기다리는 TCP 연결의 상태입니다.
나중에 다음과 같이 말하기 때문에 혼란스럽습니다.
Windows Server 2008 및 Windows Vista의 TCP는 SYN 공격 보호를 사용하여 SYN 공격이 컴퓨터를 압도하는 것을 방지합니다.
...그렇다면 위 명령이 어떻게 도움이 될까요?