У нас около 8 сайтов asp.net, работающих на сервере Windows 2008 R2.
Недавно нам сообщили о зарегистрированном случае против нашего экземпляра DOS-атаки через UDP-порт 53 на двух IP-адресах. При исследовании мы обнаружили папку DbSecuritySpt на нашем диске C :. Мы удалили папку и остановили службу, но она была снова создана, и служба запустилась автоматически на следующий день. Изначально мы разрешили трафик для всех исходящих портов. Но после этого мы закрыли большинство портов, открыв доступ к нескольким портам, таким как http. На следующий день после блокировки портов файл и сервис не были найдены. Сканирование Защитника Windows также не обнаружило вирусов.
Хотя блокировка портов предотвратила атаку DOS, она замедлила реакцию веб-сайтов asp.net. Страницы загружаются нормально, но время отклика на отправку сообщений составляет около 1,5 мин. Мы не можем определить влияние блокировки портов на время отклика веб-сайтов. Мы использовали netstat для проверки действующих портов, но безрезультатно.
Есть ли способ обнаружить эффект блокировки портов или используемых портов, которые не должны были блокироваться?
Спасибо за любой отзыв.
UDP / 53 - это порт DNS, и его односторонняя блокировка определенно имеет побочные эффекты. Сколько зависит от приложения, но это так. Если вы выполняете какие-либо поиски обратного IP-адреса, они потерпят неудачу. Если сервер обращается к какой-либо удаленной службе для обработки входящих сообщений (например, к службе защиты от спама), они тоже могут дать сбой.
Если вы можете изменить блокировку порта с «отбросить» на «отклонить», это заставит брандмауэр сообщить серверу, что он не может этого сделать. Что, в свою очередь, позволит любому коду, ожидающему ответа, выйти из цикла ожидания раньше. Если вы оставите его в режиме «drop», вам придется подождать, пока все эти попытки разрешения DNS не истекут.
Проблема решена. Поскольку мы ограничили порты, необходимо было открыть порт 587, поскольку у нас были уведомления о действиях на веб-сайте. Открытие порта решило проблему с реагированием.