最近,我的监控服务通知我一些 Windows 2008 服务器(hyper-v 实例)已关闭。
我登录到 Hyper-V 盒子,发现一切都超级慢。我打开任务管理器,发现虽然 CPU 和 RAM 都很好,但我们的“公共”网卡上的网络利用率为 99%。
这持续了大约 10 分钟,在此期间我发现禁用其中一台服务器的入站连接导致网络饱和度下降到正常水平。我禁用了该服务器的入站连接以允许其他服务器运行,最终流量消失了。
我怀疑这是 DDOS 或常规的拒绝服务攻击,但它似乎很随机。有问题的服务器的可见性非常低,并且不会有很多价值来自有人将其关闭。
判断我是否遇到 DDOS 攻击的最佳方法是什么?还有什么你能想到的会导致这种情况的,如果有,我应该寻找什么?
编辑:这又发生了。我试过 netstat -noa 但没有看到任何有用的东西。我希望有一些我可以运行的命令或程序可以告诉我每个 IP 使用了多少带宽(即,它说网络利用率是 100%,但它是如何加起来的)。有这样的东西存在吗?
可能这会有所帮助吗?
检测 Windows 2003 / 2008 服务器上的 DoS / DDoS 攻击
服务器通常使用连接而不是数据包进行 DoS。
因此,并不总是需要充分利用网络路径。
如果你是 DDoS/DoS,它应该在入站路径中触发了你的 IDS(假设你有一个)。
既然您说它是一个低可见度的 Web 服务器,那么它可能是您企业内部或外部的某个人以全速率
wget活动来镜像它吗?如果您的上行链路上有足够的带宽,那将会阻塞您的 HyperV 系统。它还可以解释短暂的“攻击”。我在Windows Server 2008 TCP/IP Protocols and Services中找到了以下内容。
这令人困惑,因为后来它说:
...所以如果是这样的话,上面的命令有什么帮助?