Это известный DDoS атака. Речь идет о корпоративной редакции Windows server 2008.
На пике атаки процессор сервера достигает 60%, 50% памяти все еще свободно, а половина сетевой карты используется, поэтому теоретически у сервера все еще достаточно ресурсов для обслуживания новых запросов, но он не может (ошибка тайм-аута запроса для новых законных запросов)
Мои вопросы:
Request Time-out пока еще достаточно ресурсов?Любой хороший хакер будет подделывать исходный код в дополнение к использованию нескольких разных машин, которые могут находиться под его контролем только из-за их собственной безопасности. Обратное отслеживание IP-адреса почти всегда является дурацким занятием, если только у вас нет значительных успехов как хакера.
У меня самого нет решения, но большинство программных брандмауэров должны разрешать правила, запрещающие определенные типы подключений или попытки подключения. Поскольку этим все еще занимается программное обеспечение, которое проверяет входящие пакеты и сопоставляет их с правилами, это не снизит нагрузку на сервер полностью.
Это подводит меня к заключительному пункту: почему вы не используете аппаратный брандмауэр в этой настройке? Если это сервер, подключенный к общедоступному Интернету, ему нужен отдельный брандмауэр. Период.
ОБНОВЛЕНИЕ дополнительных возможностей: в зависимости от типа соглашения, которое у вас есть с вашим интернет-провайдером, они могут быть готовы и / или способны (за определенную плату) выполнять за вас проверку пакетов / формирование трафика и брандмауэр. Их системы, вероятно, вполне способны на это. Проблема будет в том, что вы никогда не увидите, отбрасываются ли законные пакеты. Это очень похоже на спам. Лучшие DDoS-атаки - это те, которые больше всего похожи на легитимный трафик. И если вы начнете терять клиентов или контакты из-за чрезмерно агрессивных правил брандмауэра, над которыми вы не имеете прямого контроля (например, правил вашего интернет-провайдера), это может повредить хуже, чем DDoS.
Если вы абсолютно не можете использовать аппаратный брандмауэр, вы должны хотя бы позвонить им.
В Linux вам нужен инструмент SYN cookie. В Windows это выглядит как SynAttackProtect ( http://www.symantec.com/connect/articles/harpting-tcpip-stack-syn-attacks для детальной информации). Похоже, что эквивалент Windows во многом похож на файлы cookie SYN, и эта функция доступна со времен Win2k. В 2k8 параметры могут быть разными, но, по крайней мере, это место для начала.
Извините, но программное обеспечение здесь не решение. Вам понадобится оборудование - а этого может быть недостаточно. Недавно я работал веб-мастером в крупном интернет-магазине. У нас была дош-атака, и даже несмотря на то, что у нас было оборудование, этого было недостаточно, чтобы остановить наводнение. Наша проблема заключалась в том, что это заполняло нашу полосу пропускания. даже если вы можете получить плохой трафик от хорошего, в большинстве случаев узким местом будет ваша пропускная способность.
Кроме того, то, что сказал music2myear, абсолютно верно, вдвойне верно, если это действительно Windows-машина.