这是一个已知的DDoS攻击。 这种情况是关于Windows Server 2008企业版的。
在攻击高峰期,服务器的CPU达到60%,50%的内存仍然空闲,一半的网卡被利用,理论上服务器仍然有足够的资源来处理新的请求,但是不能(对于新的合法请求请求超时错误)
我的问题:
Request Time-out ? 任何好的黑客都会欺骗消息来源,除了使用几个不同的机器,由于他们自己的安全受到威胁,他们只能在他的控制之下。 反向跟踪IP地址几乎总是一个傻瓜的差事,除非你自己有黑客作为黑客。
我自己没有解决scheme,但大多数软件防火墙应该允许删除特定types的连接或连接尝试的规则。 因为它仍然是处理这个问题的软件,所以检查传入的数据包并将其与规则匹配,这不会将负载完全从服务器上卸下。
这使我想到了最后一点:为什么在这个设置中不使用硬件防火墙? 如果这是一个服务器接触公共互联网,它需要一个单独的防火墙设备。 期。
更新额外的可能性:根据您与ISP的协议种类,他们可能愿意和/或有能力(对于价格)为您执行数据包检查/stream量整形和防火墙职责。 他们的系统可能相当有能力。 问题是你永远不会看到合法的数据包是否被丢弃。 这很像垃圾邮件。 最好的DDoS攻击就是合法stream量。 而且,如果您由于过度激进的防火墙规则(即您无法直接控制的规则(即您的ISP)上的规则)而开始丢失客户或联系人,则可能比DDoS更糟糕。
如果你绝对不能使用硬件防火墙,你至less应该给他们打电话。
对不起,软件不是这里的解决scheme。 你将需要硬件 – 这可能是不够的。 最近我是大型互联网零售商的网站pipe理员。 我们曾经对我们进行过攻击,尽pipe我们有硬件,但还不足以阻止洪水。 我们的问题是填满我们的带pipe。 即使你可以从好的交通中得到不好的交通,很多时候你的带宽将成为瓶颈。
另外,music2myear所说的是绝对正确的,如果它确实是一台windows机器,那就是双倍的权利。
在Linux上,您正在寻找的工具是SYN cookie。 在Windows中,它看起来像SynAttackProtect(详细信息http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks )。 它看起来像Windows相当于SYN cookie很多,自Win2k以来,该function已经可用。 2k8的选项可能会有所不同,但至less这是一个开始的地方。