Я управляю кодом и развертываниями для сайта ASP.net на выделенном сервере. Windows 2008-64 R2, 8 ГБ ОЗУ, Dual Core. Это выделенный сайт интрасети, на котором никогда не бывает много трафика. Большинство проблем с производительностью, с которыми мы сталкиваемся, связаны с проблемами памяти на сервере (иногда приложению приходится импортировать и интерпретировать данные из файлов Excel размером более 1 ГБ или обрабатывать большие объемы данных для вставки в базу данных) или в базе данных (из-за вышеупомянутых вставок, иногда в сочетании с блокировкой таблиц из-за того, что данные обновляются одновременно со вставками в ту же таблицу).
Несколько дней назад был шестичасовой период времени, когда процессорные мониторы на сайте были более 95% за весь период. Отзывчивость веб-сайта была вялой, а временами вообще было невозможно получить доступ к сайту. Я получал письма дважды в минуту от нашей службы мониторинга о постоянной перегрузке процессора, но, за исключением пары неповторяющихся сигналов тревоги, не было никаких проблем с нехваткой памяти. А с точки зрения пользователя, приходили отчеты, указывающие на то, что пропускная способность загрузки была намного медленнее, чем обычно.
Я проверил журналы Windows — ничего необычного. Проверил внутренние журналы на сайте на предмет какой-либо активности на сайте, которая могла бы это объяснить, и также ничего, что могло бы объяснить плохое поведение (или даже что-то, что могло бы объяснить нехватку памяти). Так что мне все еще остается искать причину этого события на сервере (оно прояснилось само собой, очень внезапно).
Единственное другое объяснение, которое я могу придумать, это DDOS-атака. Весь сайт защищен паролем, но я думаю, что если бы в это время было сделано достаточно соединений с домашней страницей, это привело бы к симптомам, о которых я знаю: устойчивая высокая загрузка процессора (без какого-либо воздействия на память, поскольку страница входа не является динамической) и снижение пропускной способности в обоих направлениях.
Есть ли способ проверить, может ли это быть причиной или нет? Есть ли какие-либо журналы по умолчанию в Windows Server или IIS, которые регистрируют такую информацию? Есть ли какая-либо другая причина, которую вы можете придумать, которая могла бы привести к симптомам, которые я описал?
решение1
Хмм... обычно информация об атаках DDoS обнаруживается на границе сайтов, выходящих в Интернет, поэтому... брандмауэр, который их защищает. Я не знаю, что вы получите в плане ведения журнала из ОС, если только это не вызвало какие-то серьезные проблемы с конкуренцией за ресурсы. В IIS может быть что-то, и, учитывая это, я полагаю, вы обнаружите, что это был не DDoS, а что-то специфичное для приложения, что вызвало зависание. Вам было бы неплохо получить какое-то ведение журнала процессов и их использования ресурсов.