识别Windows 2008服务器上的DDOS攻击
最近,我的监控服务通知了一些Windows 2008服务器(hyper-v实例)停机。
我login到Hyper-V盒子,发现一切都非常慢。 我打开任务pipe理器,看到CPU和内存都很好,我们的“公共”网卡的networking利用率是99%。
这持续了大约10分钟,在此期间,我发现禁用其中一台服务器的入站连接,导致networking饱和度下降到正常水平。 我禁用了该服务器的入站连接,以允许其他服务器运行,并最终stream量消失。
我怀疑这是一个DDOS或定期拒绝服务攻击,但似乎很随机。 有问题的服务器的能见度很低,而且不会有人把它拿下来。
如果我遇到DDOS攻击,最好的方法是什么? 还有什么可以想到的吗?如果有的话,我该找什么?
编辑:这再次发生。 我试过netstat -noa,但没有看到有用的东西。 我希望有一些命令或程序可以运行,告诉我每个IP使用了多less带宽(即它说networking利用率是100%,但是这又是如何加起来的)。 有这样的事吗?
可能这会有帮助吗?
检测Windows 2003/2008服务器上的DoS / DDoS攻击
netstat是一个命令行实用程序,它显示系统中的协议统计信息和当前的TCP / IPnetworking连接。 input以下命令查看所有连接:
netstat -noa哪里,
- n:显示活动的TCP连接,然而,地址和端口号用数字表示,并没有试图确定名称。
- o:显示活动的TCP连接,并包含每个连接的进程ID(PID)。 您可以在Windows任务pipe理器的“进程”选项卡上find基于PID的应用程序。
- a:显示所有活动的TCP连接以及计算机正在侦听的TCP和UDP端口。
服务器通常使用连接而不是数据包进行DoS处理。
所以,完全利用networkingpath并不总是必要的。
如果你的是一个DDoS / DoS,它应该已经在入站path中跳出了你的IDS(假设你有一个)。
既然你说这是一个低可见性的Web服务器,它可能是你的企业内部或外部的人用全速率wgettypes的活动来镜像它吗? 如果您的上行链路上有足够的带宽,那么会窒息您的HyperV系统。 这也将解释一个短暂的“攻击”。
我在Windows Server 2008 TCP / IP协议和服务中find了以下内容。
要在运行Windows Server 2008或Windows Vista的计算机上查看正在进行的SYN攻击,请在命令提示符处使用Netstat.exe工具来显示活动的TCP连接。 例如:
这是一个SYN攻击的例子。 有许多TCP连接处于SYN_ RECEIVED状态,而外部地址是一个伪造的私有地址,其TCP端口号递增。 SYN_RECEIVED是TCP连接的状态,它已经收到SYN,发送了SYN-ACK,并且正在等待最后的ACK。
这是令人困惑的,因为稍后会说:
Windows Server 2008和Windows Vista中的TCP使用SYN攻击保护来防止SYN攻击压倒计算机。
…如果是这样的话,上面的命令怎么办?