我在这里有点力不从心(我们是一家规模相当小的公司,我是一名软件开发人员,在需要的时候只能做系统管理员),但在我们打电话给第三方 IT 支持公司之前,我想先向 ServerFault 的聪明人咨询我的问题。
我们目前正在经历一次巨大的流量高峰,类似于我们 10 月份经历的高峰,但后来就自行消失了。如果您查看我们的 ISP 的互联网使用情况监视器:
您会注意到,在过去的 2.5 天里,我们的 ADSL2(~20mbps)连接速度已达到极限。讽刺的是,其中一天是澳大利亚国庆日(公共假期)。
我们拥有一台 Fortinet Fortigate 互联网设备,用于记录日志和连接互联网。以下是我们使用情况的快照:这是昨天拍摄的:
今天这个:
您会发现,直到昨天早上我们到达办公室,连接量一直处于最大限度,然后直到我们离开,连接量也几乎达到最大限度(比平时高很多,您可以从 Internode 每月历史图像中看出这一点),然后再次开始达到 100% 的使用率。最后,大约在 11 点左右,Internode 终于限制了我们的使用量(这很奇怪,因为过去两天我们已经大大超出了限制)。
我们订阅了 FAMS,这是 Fortinet 的在线日志和报告服务。我们还让 Fortigate 将日志导出到 syslog 服务器。我查看了 FAMS,以下是目标日志中服务使用情况排名:
正如您所看到的,那里只记录了大约 8 或 9 个,这对我们来说是正常的,至少它远不及我们在 Internode 上记录的 167gb。
这让我很困惑——很明显,Fortigate 设备有某种流量日志,因为它的利用率快照里有,但在详细日志中(系统日志没有显示太多内容,但我不知道如何有效地解析它们,我只是一直在看着它们流入)什么都没有。
我的问题是,您知道这可能是哪种流量吗?我想也许 Fortigate 不会记录某些类型的流量(ICMP?),而我们正通过这种类型的流量遭受 DOS 攻击。我应该提到,我们确实有可公开访问的 URL,这些 URL 受密码保护,但我们的上传不包含在我们的配额中,所以我认为不是这样。
有什么建议吗?我应该去哪里找?还是我应该直接找大佬(或者像上次一样等到它消失...)
编辑:这是来自 FAMS 的另一份报告,我相信这份报告是通过网络请求发送的,不幸的是我无法获得所有端口的报告:
答案1
此链接指向我的答案: http://forums.adobe.com/thread/391741
问题在于 Adobe 更新了,而我们的 Fortigate 路由器却互相不兼容,导致无限循环。我原本以为这类事情应该出现在防火墙日志中,但我查看了“请求”版本而不是兆字节,发现一台计算机正试图前往 Adobe 进行更新。
看了帖子,问题出在以下地方:
- 计算机正在尝试自动更新 Adobe
- Adobe 开始下载更新文件
- Fortigate 具有 http 病毒扫描功能,它会缓存文件并准备进行病毒扫描
- Adobe 认为延迟意味着下载失败,因此会删除该下载并再次请求
- 这种情况一直持续,文件从未到达客户端电脑,这意味着它实际上从未记录在完整的 Fortinet 日志中。
至少是类似这样的,目前我已经关闭了 HTTP 请求的 Fortigates 病毒扫描。但我会考虑屏蔽 Adobe 的一切,或者修改扫描仪设置。
感谢大家的帮助 - 我非常感激!
答案2
问题:
在您的网络服务器上 - 您是否在日志中反复看到大量的 IP 地址...并且它们是否都在提取相同的文件或查询......
一般来说,如果你深入研究日志,你会发现 DOS 会有一些你可以跟踪的流程
临时(或永久解决方案 - )检查网络防火墙,如果是 DDoS 攻击,这可能会有所帮助
www.CloudFlare.com - 我们将其用于一个政治性极强的恐怖主义网站。该网站已经 4 个多月没有遭遇过 DDOS 攻击了 - 而我们过去几乎每周都要与之抗争。
好消息 - 它是免费的 -) 虽然它是一个防火墙 - 但它通常也可以作为免费的 CDN 服务。
答案3
流量历史记录显示大量流量来自 WAN 接口,图表显示大部分流量为 HTTP。您是否检查过目标 IP 地址是什么?它们是 Web 服务器、流媒体服务器等吗?这可能是您办公室里有人从互联网上下载文件、流式传输音乐或视频等吗?如果 DOS 攻击能够增加如此大的流量,我会感到非常惊讶。您是否能够在图表中看到源 IP 地址和目标 IP 地址?这将让您更好地了解正在发生的事情。