我的监控服务最近通知我,一些 Windows 2008 服务器(Hyper-V 实例)已关闭。
我登录 Hyper-V 框,发现一切都非常慢。我打开任务管理器,发现虽然 CPU 和 RAM 都很好,但我们“公共”NIC 上的网络利用率高达 99%。
这种情况持续了大约 10 分钟,在此期间我发现禁用其中一台服务器的入站连接会导致网络饱和度降至正常水平。我禁用了该服务器的入站连接以允许其他服务器运行,最终流量消失了。
我怀疑这是一次 DDOS 或常规拒绝服务攻击,但似乎相当随机。有问题的服务器可见性很低,即使有人将其关闭也不会带来太多价值。
判断我是否正在遭受 DDOS 攻击的最佳方法是什么?您认为还有其他什么原因会导致这种情况发生吗?如果是,我应该寻找什么?
编辑:这种情况再次发生。我尝试了 netstat -noa,但没有看到任何有用的信息。我希望有一些命令或程序可以运行,显示每个 IP 使用的带宽量(即,它显示网络利用率为 100%,但这是怎么算出来的)。有类似的东西吗?
答案1
也许这会有帮助?
检测 Windows 2003/2008 服务器上的 DoS/DDoS 攻击
netstat 是一个命令行实用程序,可显示系统中的协议统计信息和当前 TCP/IP 网络连接。输入以下命令可查看所有连接:
netstat -noa在哪里,
- n:显示活动的 TCP 连接,但是地址和端口号以数字表示,并且不尝试确定名称。
- o:显示活动的 TCP 连接,并包含每个连接的进程 ID (PID)。您可以在 Windows 任务管理器的“进程”选项卡上根据 PID 找到应用程序。
- a:显示所有活动的 TCP 连接以及计算机正在监听的 TCP 和 UDP 端口。
答案2
服务器通常通过连接而不是数据包遭受 DoS 攻击。
因此,并不总是需要充分利用网络路径。
如果您遭遇了 DDoS/DoS 攻击,它应该会在入站路径中触发您的 IDS(假设您有一个)。
既然您说这是一个低可见性的 Web 服务器,那么可能是您企业内部或外部的某个人以全速率wget活动对其进行镜像?如果您的上行链路上有足够的带宽,那么这会阻塞您的 HyperV 系统。这也可以解释短暂的“攻击”。
答案3
我发现以下内容Windows Server 2008 TCP/IP 协议和服务。
要查看运行 Windows Server 2008 或 Windows Vista 的计算机上正在进行的 SYN 攻击,请在命令提示符下使用 Netstat.exe 工具显示活动的 TCP 连接。例如:
这是 SYN 攻击的示例。有许多 TCP 连接处于 SYN_ RECEIVED 状态,外部地址是伪造的私有地址,其 TCP 端口号逐渐增加。SYN_RECEIVED 是已收到 SYN、发送 SYN-ACK 并正在等待最终 ACK 的 TCP 连接的状态。
这很令人困惑,因为后面又说:
Windows Server 2008 和 Windows Vista 中的 TCP 使用 SYN 攻击保护来防止 SYN 攻击压垮计算机。
...如果是这样的话,上述命令会有什么帮助呢?