Ich habe ein windows server 2008 R2Opfer eines DoSAngriffs. Wie kann ich herausfinden, woher IPder Angriff kommt?
Ich habe ein Anti- DoSModul, IIS 7.0das gut funktioniert, aber es scheint, als wäre das Ziel nicht Port 80 und der Angriff ist blind (der Angreifer hat einige IP-Adressen angegriffen, die nicht meine sind) und verbraucht nur meine Bandbreite. Ich habe eine 1000 MBit / s-Netzwerkkarte, die vom Angreifer voll ausgenutzt wird, so dass er mindestens einen Server mit 1000 MBit / s hat. Ich habe ungebundene Bandbreite in diesem Rechenzentrum, aber die Sicherheitsunterstützung ist schrecklich.
Ich habe "TCPView" ausprobiert, um mehr Details zu finden, der Server friert jedoch ein, wenn der Angriff aufgrund der hohen CPU-Auslastung (100%) gestartet wird.
Gibt es eine Softwarelösung für dieses Problem? Wie kann ich die IP-Adresse eines Angreifers von normalen Benutzern unterscheiden (Verbindungen mit hoher Übertragungsrate)?
Jeder DoS-Angriff, der es wert ist, sich zu kümmern, hat weit mehr als nur eine IP-Adresse hinter sich. Wenn eine IP Ihnen Probleme bereitet, ist etwas nicht richtig eingerichtet. Was bringt mich zum zweiten Teil ...
IIS und sogar das Betriebssystem sind der falsche Ort, um sich über diese Art von Angriff zu sorgen. Sie möchten eine Firewall oder Gateway Security Appliance, die den Verkehr auf der Ebene erkennen und blockieren kann, bevor er Ihren Server erreicht.
Wenn Sie wirklich glauben, dass es sich um DoS handelt (und nicht um ein DDoS, bei dem die Quell-IPs der Angreifer unterschiedlich sind), können Sie diesen Befehl verwenden, um die Netzwerkverbindungen auf dem Server schnell anzuzeigen:
netstat -an