2

У меня windows server 2008 R2 который является жертвой DoS атаки. Как я могу узнать, какой IP является источником атаки?

У меня есть анти- DoS модуль на IIS 7.0 который работает нормально, но кажется, что пункт назначения не является портом 80, и атака является слепой (атакующий атаковал некоторые IP-адреса, которые не являются моими) и просто использует мою пропускную способность. У меня есть сетевая карта 1000 Мбит / с, которая полностью используется злоумышленником, поэтому у него есть хотя бы сервер с 1000 Мбит / с. В этом дата-центре у меня неизмеренная пропускная способность, но поддержка безопасности ужасная.

Я попытался «TCPView», чтобы найти больше деталей, но сервер зависает, когда атака запускается из-за высокой загрузки ЦП (100%).

Есть ли программное решение для этой проблемы? как я могу отличить IP-адрес злоумышленника от обычных пользователей (соединения с высокой скоростью передачи)?

|источник

2 ответа2

6

Любая DoS-атака, о которой стоит позаботиться, будет иметь гораздо больше, чем просто один IP-адрес. Если один IP вызывает у вас проблемы, значит, что-то настроено неправильно. Что подводит меня ко второй части ...

IIS и даже операционная система - неподходящее место для беспокойства по поводу такого рода атак. Вам нужен брандмауэр или устройство безопасности шлюза, которое может обнаруживать и блокировать трафик на уровне еще до того, как он достигнет вашего сервера.

|источник
2

Если вы действительно думаете, что это DoS (а не DDoS, где исходные IP-адреса атакующих различаются), то вы можете использовать эту команду для быстрого просмотра сетевых подключений на сервере:

netstat -an
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .