我们有大约 8 个 asp.net 网站在 Windows 2008 R2 服务器上运行。
最近,我们被告知,我们的实例在两个 IP 上通过 UDP 端口 53 受到 DOS 攻击。在探索过程中,我们在 C: 驱动器中发现了一个 DbSecuritySpt 文件夹。我们删除了该文件夹并停止了服务,但它又被创建了,第二天服务自动启动。我们最初允许所有出站端口的流量。但在此之后,我们关闭了大多数端口,只允许访问少数端口,如 http。在端口被阻止后的第二天,文件和服务没有被发现。Windows Defender 扫描也没有检测到任何病毒。
虽然封堵端口可以避免 DOS 攻击,但同时也减慢了 asp.net 网站的响应速度。页面加载正常,但发帖的响应时间约为 1.5 分钟。我们无法确定封堵端口对网站响应时间的影响。我们曾使用 netstat 查看过端口是否有效,但无济于事。
有没有办法检测阻塞端口或正在使用的不应该被阻塞的端口的影响?
谢谢您的反馈。
答案1
UDP/53 是 DNS 端口,单方面封锁它肯定会产生副作用。副作用的严重程度取决于应用程序,但确实如此。如果您进行任何反向 IP 查找,这些查找都会失败。如果服务器访问任何远程服务来处理传入消息(例如反垃圾邮件服务),这些服务也可能会失败。
如果您可以将端口阻止从“丢弃”更改为“拒绝”,则防火墙将通知服务器它无法执行此操作。这反过来会让等待答案的任何代码尽早摆脱超时循环。如果您将其保持在“丢弃”状态,则必须等待所有这些 DNS 解析尝试超时。
答案2
问题已解决。由于我们限制了端口,因此需要打开端口 587,因为我们有网站上活动的通知。打开端口后,解决了响应问题。