最近,我的監控服務通知我,一些 Windows 2008 伺服器(hyper-v 實例)已關閉。
我登入 Hyper-V 盒子,發現一切都超級慢。我打開任務管理器,發現雖然 CPU 和 RAM 都很好,但「公共」NIC 上的網路利用率為 99%。
這種情況持續了大約 10 分鐘,在此期間我發現禁用其中一台伺服器的入站連接會導致網路飽和度降至正常水平。我禁用了該伺服器的入站連接以允許其他伺服器運行,最終流量消失了。
我懷疑這是一次 DDOS 或常規的拒絕服務攻擊,但它看起來相當隨機。有問題的伺服器的可見度非常低,如果有人將其刪除,不會帶來太多價值。
判斷我是否遭受 DDOS 攻擊的最佳方法是什麼?您認為還有什麼其他原因會導致這種情況嗎?
編輯:這又發生了。我嘗試了 netstat -noa 但沒有看到任何有用的東西。我希望有一些我可以運行的命令或程式來顯示每個 IP 使用了多少頻寬(即,它說網路利用率為 100%,但它是如何加起來的)。有這樣的東西存在嗎?
答案1
這可能會有幫助嗎?
偵測 Windows 2003 / 2008 伺服器上的 DoS / DDoS 攻擊
netstat 是命令列實用程序,它顯示系統中的協定統計資訊和當前 TCP/IP 網路連線。鍵入以下命令以查看所有連接:
netstat -noa在哪裡,
- n:顯示活動的 TCP 連接,但是位址和連接埠號碼以數字表示,並且不嘗試確定名稱。
- o:顯示活動的 TCP 連線並包含每個連線的進程 ID (PID)。您可以在 Windows 工作管理員的「進程」標籤上根據 PID 找到該應用程式。
- a:顯示所有活動的 TCP 連線以及電腦正在偵聽的 TCP 和 UDP 連接埠。
答案2
伺服器通常透過連接而不是資料包進行 DoS。
因此,並非總是需要充分利用網路路徑。
如果您的攻擊是 DDoS/DoS,它應該會在入站路徑中觸發您的 IDS(假設您有一個)。
既然您說它是一個低可見性的 Web 伺服器,那麼它是否可能是您企業內部或外部的某個人以全速wget活動來鏡像它?如果您的上行鏈路有足夠的頻寬,這會阻塞您的 HyperV 系統。這也可以解釋短暫的「攻擊」。
答案3
我在中找到了以下內容Windows Server 2008 TCP/IP 協定和服務。
若要查看執行 Windows Server 2008 或 Windows Vista 的電腦上正在進行的 SYN 攻擊,請在命令提示字元下使用 Netstat.exe 工具來顯示活動的 TCP 連線。例如:
這是 SYN 攻擊的一個範例。有多個TCP連線處於SYN_RECEIVED狀態,外部位址是一個欺騙性的私有位址,TCP埠號遞增。 SYN_RECEIVED 是已接收 SYN、發送 SYN-ACK 並正在等待最終 ACK 的 TCP 連線的狀態。
這很令人困惑,因為後來它說:
Windows Server 2008 和 Windows Vista 中的 TCP 使用 SYN 攻擊保護來防止 SYN 攻擊淹沒電腦。
……那如果是這種情況,上面的指令有什麼幫助呢?