这可能是DOS攻击吗?
我在这里有一些联赛(我们是一个相当小的公司,我是一个软件开发者,在需要的时候做系统pipe理员),但是我想在我们之前,我会问ServerFault的聪明人关于我的问题。呼吁我们的第三方IT支持公司。
目前我们正在经历一个巨大的stream量飙升,类似于我们在十月份经历的一次高峰,而这一点本身就消失了。 如果你会看到我们的ISP的互联网使用情况监视器: 
你会注意到,在过去的2.5天里,我们已经使我们的ADSL2(〜20Mbps)连接最大化了。 具有讽刺意味的是,那一天是澳大利亚的一天(公众假期)。
我们拥有一台Fortinet Fortigate Internet设备,可以实现我们的日志logging和互联网连接。 以下是我们使用的快照:昨天这个: 
今天这个:
直到我们昨天早上抵达办公室时,你会发现这个连接已经完全超越了,然后它变得非常好(比平时要高很多,因为你可以从Internode每月的历史图像中收集),直到我们离开然后再次开始100%的使用。 最后,在11点左右的节间里终于封锁了我们(奇怪,因为过去两天我们已经超过了我们的限制)。
我们订阅了FAMS,Fortinet的在线日志和报告服务。 我们也有我们的Fortigate出口我们的日志到系统日志服务器。 我已经看过FAMS,这是目标日志的顶级服务使用情况: 
正如你所看到的,那里只有大约8或9个logging,这对我们来说是正常的,至less在我们已经使用Internodelogin的167gb附近是没有的。
这使我感到困惑 – 显然,Fortigate设备具有某种stream量日志,因为它的利用率快照在那里,但是在详细日志中(syslog没有显示太多,但是我不知道如何parsing它们有效率的方式,我只是看着他们stream入)没有任何东西。
我的问题是,任何想法可能是什么样的stream量? 我想也许Fortigate不会打扰logging某些types的stream量(ICMP?),我们正在通过这种types的stream量DOS'ed。 我应该提到我们有可公开访问的密码保护的URL,但是我们的上传并不包含在我们的配额中,所以我不这么认为。
任何提示,我应该看看? 或者我应该只是打大炮(或者等到上一次消失…)
编辑:这是从FAMS的另一个报告,这一个去networking请求,我相信,不幸的是我不能得到一个跨所有端口的报告: 
这个链接指向我的答案: http : //forums.adobe.com/thread/391741
问题是Adobe更新,我们的fortigate路由器不喜欢对方,导致无限循环。 我原以为那种东西应该出现在防火墙日志中,但是我看了'请求'版本,而不是兆字节,一台计算机正在尝试更新adobe。
看线程,这是问题:
- 电脑试图自动更新Adobe
- Adobe开始下载更新文件
- Fortigate具有http病毒扫描,它caching文件并准备好进行病毒扫描
- Adobe认为这个延迟意味着下载没有成功,所以把它下载并重新请求
- 这一直持续下去,文件永远不会到达客户端PC,这意味着它永远不会logging在完整的Fortinet日志中。
至less在这方面,现在我已经closures了对HTTP请求的重大病毒扫描。 但是我会研究阻止所有东西的Adobe,或者修改扫描仪的设置。
谢谢大家的所有帮助 – 我很感激!
题:
在你的networking服务器上 – 你是否在日志中看到大量的IP地址…并且它们都拉同一个文件或查询…
通常情况下,dos会有一些stream,如果你深入日志,你可以遵循
对于临时(或perm解决scheme – )检查到您的networking防火墙)这可能会有所帮助,如果它是一个ddos
http://www.CloudFlare.com – 我们使用这个非常高度政治性的网站关于恐怖主义。 该网站现在还没有看到一个DDOS已经超过4个月了,而且我们以前每个星期都会用它来对付它。
好消息 – 它是免费的),虽然它的意思是作为一个防火墙,它通常也将作为一个免费的CDN服务。
stream量历史logging显示,在WAN接口上入站的stream量很大,图中显示大部分stream量是HTTP。 你有没有检查,看看目的地的IP地址是什么? 他们是networking服务器,stream媒体服务器等? 这可能是你的办公室里有人从互联网下载文件,stream音乐或video等? 如果DOS攻击能够增加这么多的stream量,我会感到非常惊讶。 你能看到图中的源地址和目的地址吗? 这会让你更好地理解发生了什么事情。