Eu tenho um windows server 2008 R2 que é vítima de um ataque DoS . Como posso descobrir qual IP é a fonte do ataque?
Eu tenho um módulo anti DoS em IIS 7.0 que funciona bem mas parece que o destino não é a porta 80 e o ataque é cego (o atacante atacou alguns endereços IP que não são meus) e consome apenas minha largura de banda. Eu tenho uma placa de rede de 1000 Mbps que é totalmente utilizada pelo atacante, então ele tem pelo menos um servidor com 1000 Mbps. Eu tenho largura de banda ilimitada neste data center, mas o suporte de segurança é horrível.
Eu tentei 'TCPView' para encontrar mais detalhes, mas o servidor congela quando o ataque é iniciado por causa do alto uso da CPU (100%).
Existe alguma solução de software para este problema? Como posso distinguir o endereço IP do invasor de usuários normais (conexões com alta taxa de transferência)?
Qualquer ataque DoS que valha a pena ter muito mais do que apenas um endereço IP por trás dele. Se um IP está causando problemas, algo não está configurado corretamente. O que me leva à segunda parte ...
O IIS e até mesmo o sistema operacional é o lugar errado para se preocupar com esse tipo de ataque. Você deseja um firewall ou dispositivo de segurança de gateway que possa detectar e bloquear o tráfego no nível antes que chegue ao seu servidor.
Se você realmente acha que é DoS (e não um DDoS, onde os IPs de origem dos invasores são diferentes), então você pode usar este comando para visualizar rapidamente as conexões de rede no servidor:
netstat -an