Мы размещаем игровые серверы на компьютерах с Windows Server 2008 и только что получили сообщение о том, что один из наших клиентов использует свой сервер для проведения какого-либо типа UDP-атаки. Атакованный человек предоставил нам IP-адрес, но, учитывая ограничения IPv4, у нас есть 5 игровых серверов, работающих с этим IP-адресом.
Как лучше всего определить, какой игровой сервер отправляет эти пакеты? Один из наших других специалистов давно установил приложение, которое показывало живой сетевой трафик, но его нет на этой машине, и я не могу его найти.
Попросите жертву предоставить вам порт источника дейтаграмм, которые он определил как принадлежащие к атаке.
Если вы запустите 5 разных игровых серверов на этом IP-адресе, каждый из них будет работать на разных портах, и поэтому вы узнаете, какой из них является виновником, путем перекрестной проверки «порта прослушивания» игрового сервера на исходный порт на дейтаграммах UDP. потерпевший получил.
В целом, если вас интересует такая проверка дорожного движения в долгосрочной перспективе, вам стоит ознакомиться с Wireshark и особенно его скриптовый компонент: Тшарк. При разумном использовании эти инструменты могут обеспечить глубокое понимание любых сетевых проблем.
Вы можете установить Microsoft Network Monitor на серверах и начать захват, если вы подозреваете, что это происходит. Netmon будет отслеживать процессы, участвующие в трафике, чтобы вы могли сузить его до определенного процесса.
Что касается истории трафика, вам понадобится что-то вроде Netflow, настроенного на вашем коммутаторе или маршрутизаторе, экспортирующем потоки в коллектор Netflow.