Недавно моя служба мониторинга уведомила меня о том, что несколько серверов Windows 2008 (экземпляры Hyper-v) не работают.
Я вошел в систему Hyper-V и заметил, что все идет очень медленно. Я открыл диспетчер задач и увидел, что, хотя ЦП и ОЗУ в порядке, использование сети на нашей «общедоступной» сетевой карте составляет 99%.
Это длилось около 10 минут, в течение которых я обнаружил, что отключение входящих соединений для одного из серверов привело к падению насыщения сети до нормального уровня. Я отключил входящие соединения этого сервера, чтобы позволить другим серверам работать, и в конечном итоге трафик ушел.
Я подозреваю, что это была DDOS-атака или обычная атака отказа в обслуживании, но она кажется довольно случайной. Рассматриваемый сервер очень малозаметен, и его отключение не принесет большой пользы.
Как лучше всего определить, что я подвергаюсь DDOS-атаке? Есть ли что-нибудь еще, что могло бы вызвать это, и если да, то что мне следует искать?
РЕДАКТИРОВАТЬ: это случилось снова. Я попробовал netstat -noa, но ничего полезного не увидел. Я надеялся, что есть какая-то команда или программа, которые я мог бы запустить, которые покажут мне, какую полосу пропускания использует каждый IP (т.е. он говорит, что использование сети составляет 100%, но как это складывается). Что-нибудь подобное существует?
Может это поможет?
Обнаружение DoS / DDoS-атак на сервере Windows 2003/2008
netstat - это утилита командной строки, которая отображает статистику протокола и текущие сетевые соединения TCP / IP в системе. Введите следующую команду, чтобы увидеть все подключения:
netstat -noa
Куда,
- n: отображает активные TCP-соединения, однако адреса и номера портов выражаются численно, и не предпринимается никаких попыток определить имена.
- o: отображает активные TCP-соединения и включает идентификатор процесса (PID) для каждого соединения. Вы можете найти приложение на основе PID на вкладке «Процессы» в диспетчере задач Windows.
- a: отображает все активные TCP-соединения и TCP- и UDP-порты, которые компьютер прослушивает.
Серверы обычно подвергаются DoS-атакам с помощью соединений, а не пакетов.
Таким образом, полное использование сетевого пути не всегда необходимо.
Если ваш был DDoS / DoS, он должен был отключить вашу IDS на входящем пути (при условии, что он у вас есть).
Поскольку вы говорите, что это веб-сервер с низкой степенью видимости, может ли это быть кто-то внутри или вне вашего предприятия, зеркалирующий его с полной скоростью? wget
род деятельности? Это задушит вашу систему HyperV, если у вас будет достаточная пропускная способность восходящего канала. Это также объяснило бы кратковременную «атаку».