Eu gerencio o código e as implantações de um site ASP.net em um servidor dedicado. Windows 2008-64 R2, 8 GB de RAM, Dual Core. É um site de intranet dedicado que nunca tem muito tráfego. A maioria dos problemas de desempenho que encontramos são problemas de memória no servidor (o aplicativo às vezes precisa importar e interpretar dados de arquivos Excel com mais de 1 GB ou processar grandes quantidades de dados para inserção no banco de dados) ou no banco de dados (do mencionado acima). inserções, às vezes associadas ao bloqueio de tabela devido à atualização dos dados simultaneamente com inserções na mesma tabela).
Há alguns dias, houve um período de seis horas em que os monitores do processador no site estavam acima de 95% durante todo o período. A capacidade de resposta do site era lenta e, às vezes, era impossível acessá-lo. Recebi e-mails duas vezes por minuto do nosso serviço de monitoramento sobre a utilização excessiva sustentada do processador, mas, além de alguns alarmes que não se repetiram, não houve problemas de falta de memória. E da perspectiva do usuário, surgiram relatórios indicando que a largura de banda de upload era muito mais lenta que o normal.
Verifiquei os logs do Windows - nada fora do comum. Verifiquei meus registros internos no site em busca de qualquer atividade no site que pudesse explicar isso e também nada que explicasse o mau comportamento (ou mesmo algo que pudesse explicar a falta de memória). Portanto, ainda estou procurando uma causa para esse evento do servidor (ele desapareceu sozinho, de repente).
A única outra explicação que consigo pensar é um ataque DDOS. Todo o site é protegido por senha, mas eu acho que se conexões suficientes fossem feitas à página inicial durante esse período, isso resultaria nos sintomas que eu conheço: alta utilização sustentada do processador (sem qualquer impacto na memória, já que o a página de login não é dinâmica) e diminuição da largura de banda em ambas as direções.
Existe alguma maneira de tentar verificar se essa pode ou não ter sido a causa? Algum log padrão no servidor Windows ou IIS que registraria informações como esta? Existe alguma outra causa que você possa imaginar que levaria aos sintomas que descrevi?
Responder1
Hmm... normalmente as informações de ataque DDoS são detectadas na borda dos sites voltados para a Internet, então... o firewall que os protege. Não sei se você conseguirá muito fazer login no sistema operacional, a menos que isso cause algum tipo de problema sério de contenção de recursos. O IIS pode ter algo e, dito isso, acredito que você descobrirá que não foi um DDoS, mas algo específico do aplicativo que causou um desligamento. Você faria bem em implementar algum tipo de registro de processos e seu uso de recursos.