Bagaimana menemukan alamat IP sumber serangan DoS di windows server 2008?

2

Saya punya windows server 2008 R2 yang merupakan korban dari a DoS menyerang. Bagaimana saya bisa mengetahui yang mana IP Apakah sumber serangan?

Saya punya anti DoS modul aktif IIS 7.0 yang berfungsi dengan baik tetapi tampaknya tujuan bukan port 80 dan serangan itu buta (Penyerang telah menyerang beberapa alamat IP yang bukan milik saya) dan hanya mengkonsumsi bandwidth saya. Saya memiliki kartu jaringan 1000 Mbps yang sepenuhnya digunakan oleh penyerang sehingga ia memiliki setidaknya server dengan 1000 Mbps. Saya memiliki unmetered bandwidth pada pusat data ini tetapi dukungan keamanannya mengerikan.

Saya telah mencoba 'TCPView' untuk menemukan rincian lebih lanjut tetapi server membeku ketika serangan dimulai karena penggunaan CPU yang tinggi (100%).

Apakah ada solusi perangkat lunak untuk masalah ini? bagaimana saya bisa membedakan alamat IP penyerang dari pengguna normal (koneksi dengan kecepatan transfer tinggi)?

Xaqron
sumber
Apakah Anda memiliki semacam firewall (jika demikian, model apa?), Atau hanya firewall perangkat lunak? Apakah itu duduk di Internet, atau tidak? Apakah Anda memerlukan port lain yang terbuka selain 80?
KCotreau

Jawaban:

6

Setiap serangan DoS yang layak diperhatikan akan memiliki lebih dari satu alamat IP di belakangnya. Jika satu IP menyebabkan masalah, sesuatu tidak diatur dengan benar. Yang membawaku ke bagian dua ...

IIS dan bahkan sistem operasi adalah tempat yang salah untuk mengkhawatirkan serangan semacam ini. Anda ingin alat keamanan firewall atau gateway yang dapat mendeteksi dan memblokir lalu lintas di tingkat, sebelum pernah mencapai server Anda.

Joel Coehoorn
sumber
+1 Saya bertanya-tanya apakah itu seperti banyak layanan cloud ini, di mana VM pada dasarnya tidak memiliki firewall perangkat keras untuk menjatuhkan koneksi seperti itu di tempat pertama.
KCotreau
+1 Anda benar. Itu merupakan DDoS menyerang.
Xaqron
2

Jika Anda benar-benar berpikir itu DoS (dan bukan DDoS, di mana IP sumber dari para penyerang berbeda), maka Anda dapat menggunakan perintah ini untuk dengan cepat melihat koneksi jaringan di server:

netstat -an 
Vinay Kudithipudi
sumber
Dan jika ada 200 pengguna normal di server bagaimana saya bisa menemukan penggunaan bandwidth dan menemukan penyerang dari pengguna normal?
Xaqron