我有一个windows server 2008 R2遭受DoS攻击的设备。我如何才能找出IP攻击源?
我有一个反DoS模块,IIS 7.0它工作正常,但似乎目标不是端口 80,攻击是盲目的(攻击者攻击了一些不属于我的 IP 地址),只是消耗了我的带宽。我有一张 1000 Mbps 的网卡,攻击者充分利用了它,所以他至少有一台 1000 Mbps 的服务器。我在这个数据中心有不计量的带宽,但安全支持很糟糕。
我尝试使用“TCPView”来查找更多详细信息,但由于 CPU 使用率过高(100%),攻击开始时服务器会冻结。
有没有什么软件可以解决这个问题?我如何区分攻击者的 IP 地址和普通用户(具有高传输速率的连接)?
答案1
任何值得关注的 DoS 攻击背后都不仅仅只有一个 IP 地址。如果一个 IP 给您带来麻烦,则说明设置不正确。这让我想到了第二部分...
IIS 甚至操作系统都不是担心此类攻击的地方。您需要一个防火墙或网关安全设备,能够在流量到达您的服务器之前就检测并阻止流量。
答案2
如果你真的认为这是 DoS(而不是 DDoS,攻击者的源 IP 不同),那么你可以使用此命令快速查看服务器上的网络连接:
netstat -an