我有一台装有 Windows 操作系统的服务器。该服务器使用 HYPER-V 运行许多虚拟机。这些虚拟机暴露在互联网上。有一台虚拟机使用 Windows RRAS 运行 NAT,它一端连接到路由器,另一端连接到内部网络。所有其他虚拟机都连接到内部网络。有多个端口被映射以便能够访问服务,如 http、https、邮件等。
该服务器还运行游戏服务器服务,这引起了愤怒用户的注意,我认为他可能正在对我进行 DDoS 攻击。我需要知道他是如何进行攻击的,并防止它们再次发生。能够记录日志和其他攻击证据以报告给当局将是一个很好的优势。到目前为止,我认为服务器安全性还可以,但似乎并非如此。
VM 上公开的服务的完整列表:带有 php 和 mysql 的 apache 2.4、exchange 2016、3CX 电话系统、用于 VPN 的 RRAS、ARK 游戏服务器。还有其他服务,但不应暴露给互联网。
答案1
抱歉,我不熟悉 php 和 mysql、3CX 电话系统等。但为了 Exchange 服务器的安全,您可以使用一些垃圾邮件过滤器或传输规则(例如:如果发件人位于组织外部,则将邮件转发给一个或多个人员进行审批)来管理外部电子邮件,或者你也可以在邮箱服务器上启用反垃圾邮件功能以帮助防止垃圾邮件。
此外,这里还有一份关于保护 Exchange Server 安全的 9 个步骤的文档,希望对您有所帮助:保护 Exchange 服务器安全的九个步骤
答案2
您写道,您“认为”有人正在对您实施 DOS 或 DDOS 攻击。
DDOS 应该很容易被检测到。管道上有大量流量,应该立即在您的监控图中可见。要获取更多详细信息,只需转储 WAN 流量(使用 wireshark、tcpdump 或您喜欢的任何工具)一段时间。这可以直接在您的 RRAS 主机上进行。然后检查哪些 IP 正在发送哪些流量。这可能会花费更多时间,但如果是真正的 DDOS,您应该能够几乎立即发现不需要的数据包(因为它们太多了)并相应地调整防火墙。
对于 DOS 来说也是如此;可能发现“正确的”数据包(导致问题的数据包)有点困难,但如果这是正在进行的攻击,那么也应该是可能的。
DOS 攻击通常利用软件中的漏洞。如果游戏服务器受到攻击,请检查其更新、安全提示和强化指南。如果其他服务受到攻击,也会出现同样的情况。
对于 DOS:仅仅因为一个服务关闭,不会对其他服务产生影响。DDOS 会堵塞您通往任何服务的管道,因此这应该是显而易见的。