Недавно моя служба мониторинга сообщила мне, что несколько серверов Windows 2008 (экземпляры Hyper-V) вышли из строя.
Я вошел в Hyper-V box и заметил, что все было очень медленно. Я открыл диспетчер задач и увидел, что хотя CPU и RAM были в порядке, загрузка сети на нашем "Public" NIC составляла 99%.
Это продолжалось около 10 минут, в течение которых я обнаружил, что отключение входящих соединений для одного из серверов привело к снижению насыщенности сети до нормального уровня. Я отключил входящие соединения этого сервера, чтобы позволить другим серверам работать, и в конечном итоге трафик исчез.
Подозреваю, что это была DDOS или обычная атака типа «отказ в обслуживании», но она выглядит довольно случайной. Сервер, о котором идет речь, очень плохо виден, и не так уж много пользы принесет его отключение.
Как лучше всего определить, подвергаюсь ли я атаке DDOS? Есть ли что-то еще, что могло бы вызвать это, и если да, то на что мне следует обратить внимание?
EDIT: Это произошло снова. Я попробовал netstat -noa, но ничего полезного не увидел. Я надеялся, что есть какая-то команда или программа, которую я мог бы запустить, чтобы показать мне, сколько полосы пропускания использует каждый IP (т. е. она говорит, что загрузка сети составляет 100%, но как это суммируется). Существует ли что-то подобное?
решение1
Может быть это поможет?
Обнаружение DoS/DDoS-атак на сервере Windows 2003/2008
netstat — это утилита командной строки, которая отображает статистику протоколов и текущие сетевые соединения TCP/IP в системе. Введите следующую команду, чтобы увидеть все соединения:
netstat -noa
Где,
- n: Отображает активные TCP-соединения, однако адреса и номера портов выражаются в числовом виде, и попытки определить имена не предпринимаются.
- o: Отображает активные TCP-соединения и включает идентификатор процесса (PID) для каждого соединения. Вы можете найти приложение на основе PID на вкладке «Процессы» в диспетчере задач Windows.
- a: Отображает все активные TCP-соединения, а также TCP- и UDP-порты, которые прослушивает компьютер.
решение2
Серверы обычно подвергаются DoS-атакам с помощью соединений, а не пакетов.
Поэтому полное использование сетевого пути не всегда необходимо.
Если у вас была DDoS/DoS-атака, она должна была сработать на входящем пути вашей системы обнаружения вторжений (при условии, что она у вас есть).
Поскольку вы говорите, что это был веб-сервер с низкой видимостью, может ли это быть кто-то внутри или снаружи вашего предприятия, который зеркалирует его с полной скоростью wget
? Это задушит вашу систему HyperV, если у вас достаточная пропускная способность на вашем восходящем канале. Это также объясняет кратковременную «атаку».
решение3
Я нашел следующее вПротоколы и службы TCP/IP Windows Server 2008.
Чтобы увидеть атаку SYN на компьютере под управлением Windows Server 2008 или Windows Vista, используйте инструмент Netstat.exe в командной строке для отображения активных TCP-подключений. Например:
Это пример атаки SYN. В состоянии SYN_RECEIVED находится несколько TCP-соединений, а внешний адрес — это поддельный частный адрес с постепенно увеличивающимися номерами TCP-портов. SYN_RECEIVED — это состояние TCP-соединения, которое получило SYN, отправило SYN-ACK и ожидает окончательного ACK.
что сбивает с толку, потому что далее говорится:
TCP в Windows Server 2008 и Windows Vista использует защиту от SYN-атак, чтобы не допустить перегрузки компьютера SYN-атакой.
...так если это так, то как может помочь приведенная выше команда?