Получил сервер с ОС Windows. На сервере работает множество виртуальных машин с использованием HYPER-V. Виртуальные машины доступны в Интернете. Существует одна виртуальная машина, на которой выполняется NAT с использованием Windows RRAS, которая подключена к маршрутизатору на одном конце и к внутренней сети на другом. Все остальные виртуальные машины подключены к внутренней сети. Есть несколько портов, назначенных для доступа к службам, таким как http, https, почта и другие.
На сервере также работает служба игрового сервера, и это привлекло внимание разгневанного пользователя, который, я думаю, возможно, атакует меня DDoS. Мне нужно знать, как он выполняет атаки, и не допустить их повторения. Хорошим плюсом было бы иметь возможность вести протоколы атак и другие свидетельства атак, которые можно было бы сообщить властям. До сих пор я думал, что с безопасностью сервера все в порядке, но похоже, что это не так.
Полный список доступных сервисов на виртуальных машинах: apache 2.4 с php и mysql, exchange 2016, система телефонии 3CX, RRAS для VPN, игровой сервер ARK. Существуют и другие службы, но они не должны быть доступны в Интернете.
Вы пишете, что "думаете", что кто-то вас использует DOS или DDOS.
DDOS должно быть легко обнаруживать след. На пайпе просто ОЧЕНЬ много трафика, который должен быть сразу виден на ваших графиках мониторинга. Чтобы получить более подробную информацию, просто на время сбросьте WAN-трафик (с помощью wirehark, tcpdump или чего-то еще). Это возможно прямо на вашем хосте RRAS. Затем проверьте, какие IP-адреса отправляют какой трафик. Это может занять немного больше времени, но если это настоящий DDOS, вы сможете обнаружить нежелательные пакеты почти сразу (только потому, что их так много) и соответствующим образом настроить брандмауэр.
То же самое и с DOS; Возможно, немного сложнее определить «правильные» пакеты (те, которые вызывают проблемы), но если это продолжающаяся атака, это тоже должно быть возможно.
Атака DOS раскрывает (обычно) недостатки в вашем программном обеспечении. Если игровой сервер подвергся атаке, проверьте его обновления, советы по безопасности и руководства по усилению защиты. Если другие сервисы подвергаются атаке, то же самое и с ними.
И для DOS: просто потому, что одна служба не работает, это не влияет на другие. DDOS вызовет у вас трубу к любому сервису, так что это должно быть совершенно очевидно.
Извините за это, я не знаком с php и mysql, системой звонков 3CX и т. Д. Но для безопасности сервера Exchange вы можете использовать некоторые фильтры спама или правила транспорта (например: Если отправитель находится за пределами организации, перешлите сообщение на утверждение одному или нескольким людям.) для модерации внешних писем, или вы можете включить функцию защиты от спама на серверах почтовых ящиков чтобы предотвратить спам.
Кроме того, вот один документ о 9 шагах по защите Exchange Server, надеюсь, он будет вам полезен: Девять шагов по защите вашего сервера Exchange