Назад | Перейти на главную страницу

Может ли это быть DOS-атака?

Я здесь немного не в себе (мы достаточно небольшая фирма, я разработчик программного обеспечения, которому при необходимости приходится выполнять системного администратора), но я решил спросить у умных людей из ServerFault о своей проблеме, прежде чем мы позвонил в нашу стороннюю фирму ИТ-поддержки.

В настоящий момент мы переживаем резкий скачок трафика, похожий на октябрьский скачок, который прошел сам по себе. Если вы увидите монитор использования Интернета нашим интернет-провайдером:

Вы заметите, что за последние 2,5 дня мы максимально использовали наше ADSL2-соединение (~ 20 Мбит / с). По иронии судьбы, в один из таких дней был день Австралии (государственный праздник).

У нас есть интернет-устройство Fortinet Fortigate, которое выполняет наши журналы и подключение к Интернету. Вот его снимок нашего использования: Это было сделано вчера:

Этот сегодня:

Вы увидите, что соединение было полностью на максимальном уровне, пока мы не прибыли в офис вчера утром, затем оно было в значительной степени доведено до максимума (намного выше, чем обычно, как вы, вероятно, можете понять из изображения ежемесячной истории Internode), пока мы не ушли. а затем он снова начал использовать 100%. Наконец, около 11:00 Междоузлия окончательно закрыла нас (странно, учитывая, что мы превысили наш предел за последние 2 дня).

У нас есть подписка на FAMS, службу онлайн-регистрации и отчетности Fortinet. У нас также есть наш Fortigate, который экспортирует наши журналы на сервер системного журнала. Я посмотрел на FAMS, и вот как выглядит максимальное использование службы по журналу назначения:

Как видите, там зарегистрировано всего около 8 или 9, что для нас нормально, по крайней мере, это не где-то рядом с 167 ГБ, которые мы использовали для входа в Internode.

Это меня озадачивает - очевидно, что у устройства Fortigate есть какой-то журнал трафика, так как его снимок использования хранит его там, но в подробных журналах (системные журналы мало что показывали, но я не знаю, как их анализировать в эффективный способ, я только что наблюдал за их потоком) нет ничего.

У меня вопрос, есть идеи, что это за трафик? Я думаю, что, возможно, Fortigate не беспокоится о регистрации определенных типов трафика (ICMP?), И мы получаем DOS через этот тип трафика. Я должен упомянуть, что у нас есть общедоступные URL-адреса, защищенные паролем, но наши загрузки не включены в нашу квоту, поэтому я не думаю, что это так.

Есть какие-нибудь советы, где мне искать? Или я должен просто вызвать большие пушки (или, возможно, просто подождать, пока он уйдет, как в прошлый раз ...)

РЕДАКТИРОВАТЬ: Вот еще один отчет от FAMS, я считаю, что он идет по веб-запросам, к сожалению, я не могу получить отчет по всем портам для этого:

Эта ссылка указала мне на ответ: http://forums.adobe.com/thread/391741

Проблема заключалась в обновлении Adobe, и наши маршрутизаторы fortigate не понравились друг другу, что привело к бесконечному циклу. Я бы подумал, что такие вещи должны появиться в журналах брандмауэра, но я взглянул на версию «запросов», а не на мегабайты, и один компьютер пытался отправиться в Adobe за обновлениями.

Посмотрев на ветку, это была проблема:

  • Компьютер пытался автоматически обновить Adobe
  • Adobe начинает загрузку файла обновления.
  • У Fortigate есть http-сканирование на вирусы, он кэширует файл и готовится к сканированию на вирусы.
  • Adobe считает, что задержка означает, что загрузка не сработала, поэтому она отбрасывает ее и снова запрашивает
  • Это продолжается и продолжается, файл никогда не попадает на клиентский компьютер, а это означает, что он никогда не регистрируется в полных журналах Fortinet.

По крайней мере, это что-то в этом роде, пока я отключил сканирование HTTP-запросов на вирусы. Но я постараюсь просто заблокировать Adobe от всего или изменить настройки сканера.

Спасибо всем за вашу помощь - я ценю это!

Вопрос:

На вашем веб-сервере - вы видите множество IP-адресов в журналах снова и снова ... И все ли они извлекают один и тот же файл или запрос ...

Обычно в dos будет какой-то поток, за которым вы можете следить, если углубитесь в журналы.

для временной (или постоянного решения -) проверьте брандмауэр за пределами вашей сети) Это может помочь, если это ddos

www.CloudFlare.com - мы используем его для очень политического сайта о терроризме. Сайт не видел DDOS уже более 4 месяцев - и мы боролись с ним буквально каждую неделю.

Хорошие новости - это бесплатно -), и хотя он предназначен как брандмауэр, он обычно также действует как бесплатный сервис CDN.

История трафика показывает тяжелый трафик как входящий через интерфейс WAN, а на графике большая часть трафика отображается как HTTP. Вы проверили, какие IP-адреса назначения? Это веб-серверы, серверы потокового мультимедиа и т. Д.? Может ли это быть кто-то в вашем офисе, загружающий файлы из Интернета, транслирующий музыку или видео в потоковом режиме и т. Д.? Я был бы очень удивлен, если бы DOS-атака могла увеличить такой объем трафика. Можете ли вы увидеть на графике IP-адреса источника и назначения? Это даст вам лучшее представление о том, что происходит.