我在专用服务器上管理 ASP.net 站点的代码和部署。Windows 2008-64 R2、8GB RAM、双核。这是一个专用的内部网站,流量从不大。我们遇到的大多数性能问题都是服务器上的内存问题(应用程序有时必须从 1GB 以上的 Excel 文件中导入和解释数据,或处理大量数据以插入数据库)或数据库中的问题(来自上述插入,有时由于数据在插入同一张表的同时更新而导致表锁定)。
几天前,有六小时的时间内,网站上的处理器监视器在整个时间段内都超过 95%。网站响应缓慢,有时根本无法访问网站。我每分钟收到两次来自我们监控服务的电子邮件,内容是处理器持续过度使用,但除了几次没有重复的警报外,没有内存耗尽的问题。从用户的角度来看,收到的报告表明上传带宽比正常情况慢得多。
我检查了 Windows 日志 - 没有任何异常。检查了网站内部日志,查找可能导致此问题的任何站内活动,也没有发现任何可以解释这种不良行为的内容(甚至没有发现任何可以解释内存不足的内容)。所以我仍然在寻找此服务器事件的原因(它突然自行消失了)。
我能想到的唯一其他解释是 DDOS 攻击。整个网站都受密码保护,但我认为,如果在此期间有足够多的连接连接到主页,那么就会出现我所知道的症状:持续的高处理器利用率(没有任何内存占用,因为登录页面不是动态的)和双向带宽减少。
有什么方法可以验证这是否是原因?Windows 服务器或 IIS 中是否有默认日志会记录此类信息?您能想到其他导致我所描述的症状的原因吗?
答案1
嗯……通常 DDoS 攻击信息是在面向 Internet 的站点边缘检测到的,因此……防火墙可以保护它们。我不知道您会从操作系统获得多少日志记录,除非它导致某种严重的资源争用问题。IIS 可能存在问题,话虽如此,我相信您会发现这不是 DDoS,而是导致挂断的特定应用程序。您最好对进程及其资源使用情况进行某种日志记录。