Recentemente fui notificado pelo meu serviço de monitoramento de que alguns servidores Windows 2008 (instâncias Hyper-V) estavam inativos.
Entrei na caixa do Hyper-V e percebi que tudo estava muito lento. Abri o gerenciador de tarefas e vi que, embora a CPU e a RAM estivessem bem, a utilização da rede em nossa NIC "Pública" estava em 99%.
Isso durou cerca de 10 minutos, durante os quais descobri que desabilitar as conexões de entrada de um dos servidores fazia com que a saturação da rede caísse para níveis normais. Desativei as conexões de entrada desse servidor para permitir que outros servidores operassem e, eventualmente, o tráfego desapareceu.
Suspeito que tenha sido um ataque DDOS ou de negação de serviço regular, mas parece bastante aleatório. O servidor em questão tem visibilidade muito baixa e não teria muito valor se alguém o desativasse.
Qual seria a melhor maneira de saber se estou enfrentando um ataque DDOS? Há mais alguma coisa que você possa imaginar que possa causar isso e, em caso afirmativo, o que devo procurar?
EDITAR: Isso aconteceu novamente. Tentei netstat -noa mas não vi nada de útil. Eu esperava que houvesse algum comando ou programa que eu pudesse executar e que me mostrasse quanta largura de banda cada IP está usando (ou seja, diz que a utilização da rede é de 100%, mas como isso se soma). Existe algo assim?
Responder1
Pode ser que isso ajude?
Detectando ataque DoS/DDoS em um servidor Windows 2003/2008
netstat é um utilitário de linha de comando que exibe estatísticas de protocolo e conexões de rede TCP/IP atuais em um sistema. Digite o seguinte comando para ver todas as conexões:
netstat -noaOnde,
- n: Exibe conexões TCP ativas, porém os endereços e números de porta são expressos numericamente e nenhuma tentativa é feita para determinar nomes.
- o: Exibe conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Você pode encontrar o aplicativo com base no PID na guia Processos do Gerenciador de Tarefas do Windows.
- a: Exibe todas as conexões TCP ativas e as portas TCP e UDP nas quais o computador está escutando.
Responder2
Os servidores geralmente são DoS com conexões em vez de pacotes.
Portanto, nem sempre é necessária uma utilização completa do caminho da rede.
Se o seu fosse um DDoS/DoS, ele deveria ter disparado seu IDS no caminho de entrada (supondo que você tenha um).
Já que você disse que era um servidor web de baixa visibilidade, poderia ser alguém dentro ou fora da sua empresa espelhando-o com um wgettipo de atividade de taxa total? Isso sufocaria seu sistema HyperV se você tivesse largura de banda suficiente no uplink. Também explicaria um “ataque” de curta duração.
Responder3
Encontrei o seguinte emProtocolos e serviços TCP/IP do Windows Server 2008.
Para ver um ataque SYN em andamento em um computador que executa o Windows Server 2008 ou o Windows Vista, use a ferramenta Netstat.exe em um prompt de comando para exibir as conexões TCP ativas. Por exemplo:
Este é um exemplo de ataque SYN. Há várias conexões TCP no estado SYN_RECEIVED e o endereço externo é um endereço privado falsificado com números de porta TCP aumentando gradativamente. O SYN_RECEIVED é o estado de uma conexão TCP que recebeu um SYN, enviou um SYN-ACK e está aguardando o ACK final.
o que é confuso, porque mais tarde diz:
O TCP no Windows Server 2008 e no Windows Vista usa proteção contra ataques SYN para evitar que um ataque SYN sobrecarregue o computador.
... então, se for esse o caso, como o comando acima ajudaria?