Identificando ataques DDOS em servidores do Windows 2008 [duplicado]

2

Recentemente, fui notificado por meu serviço de monitoramento de que alguns servidores do Windows 2008 (instâncias do hyper-v) estavam inativos.

Eu entrei na caixa do Hyper-V e notei que tudo estava super lento. Eu abri o gerenciador de tarefas e vi que, embora a CPU e a RAM estivessem bem, a utilização da rede em nossa placa de rede "pública" estava em 99%.

Isso durou cerca de 10 minutos, durante os quais achei que desabilitar as conexões de entrada de um dos servidores fazia com que a saturação da rede caísse para níveis normais. Desativei as conexões de entrada do servidor para permitir que os outros servidores operassem e, eventualmente, o tráfego foi embora.

Eu suspeito que este foi um DDOS ou ataque regular de negação de serviço, mas parece bastante aleatório. O servidor em questão tem uma visibilidade muito baixa e não muito valor viria de alguém derrubando-o.

Qual seria a melhor maneira de saber se estou tendo um ataque DDOS? Existe algo mais que você poderia pensar que causaria isso e, em caso afirmativo, o que devo procurar?

EDIT: Isso aconteceu novamente. Eu tentei netstat -noa, mas não vi nada de útil. Eu esperava que houvesse algum comando ou programa que eu pudesse executar que mostrasse quanto de largura de banda cada IP está usando (por exemplo, a utilização da rede é de 100%, mas como isso se soma). Existe algo assim?

    
por Adam Brand 14.07.2009 / 00:18

3 respostas

1

Encontrei o seguinte em Protocolos e Serviços TCP / IP do Windows Server 2008 .

To see a SYN attack in progress on a computer running Windows Server 2008 or Windows Vista, use the Netstat.exe tool at a command prompt to display the active TCP connections. For example:

alt text

This is an example of a SYN attack. There are a number of TCP connections in the SYN_ RECEIVED state, and the foreign address is a spoofed private address with incrementally increasing TCP port numbers. The SYN_RECEIVED is the state of a TCP connection that has received a SYN, sent a SYN-ACK, and is waiting for the final ACK.

que é confuso, porque mais tarde diz:

TCP in Windows Server 2008 and Windows Vista use SYN attack protection to prevent a SYN attack from overwhelming the computer.

... então, se esse é o caso, como o comando acima ajudaria?

    
por 21.07.2009 / 00:23
2

Pode ser que isso ajude?

Detectando ataque DoS / DDoS em um servidor Windows 2003/2008

netstat is a command line utility which displays protocol statistics and current TCP/IP network connections in a system. Type the following command to see all connections:

netstat -noa

Where,

  1. n: Displays active TCP connections, however, addresses and port numbers are expressed numerically and no attempt is made to determine names.
  2. o: Displays active TCP connections and includes the process ID (PID) for each connection. You can find the application based on the PID on the Processes tab in Windows Task Manager.
  3. a: Displays all active TCP connections and the TCP and UDP ports on which the computer is listening.
    
por 14.07.2009 / 05:30
1

Os servidores geralmente são DoS com conexões em vez de pacotes.
Portanto, uma utilização completa do caminho da rede nem sempre é necessária.

Se o seu era um DDoS / DoS, ele deveria ter tropeçado seu IDS no caminho de entrada (supondo que você tenha um).

Como você disse que era um servidor da Web de baixa visibilidade, poderia ser alguém dentro ou fora de sua empresa espelhando-o com um tipo de atividade wget de taxa total? Isso sufocaria seu sistema HyperV se você tivesse largura de banda suficiente no seu uplink. Também explicaria um 'ataque' de curta duração.

    
por 14.07.2009 / 04:32