Saya punya windows server 2008 R2
yang merupakan korban dari a DoS
menyerang. Bagaimana saya bisa mengetahui yang mana IP
Apakah sumber serangan?
Saya punya anti DoS
modul aktif IIS 7.0
yang berfungsi dengan baik tetapi tampaknya tujuan bukan port 80 dan serangan itu buta (Penyerang telah menyerang beberapa alamat IP yang bukan milik saya) dan hanya mengkonsumsi bandwidth saya. Saya memiliki kartu jaringan 1000 Mbps yang sepenuhnya digunakan oleh penyerang sehingga ia memiliki setidaknya server dengan 1000 Mbps. Saya memiliki unmetered bandwidth pada pusat data ini tetapi dukungan keamanannya mengerikan.
Saya telah mencoba 'TCPView' untuk menemukan rincian lebih lanjut tetapi server membeku ketika serangan dimulai karena penggunaan CPU yang tinggi (100%).
Apakah ada solusi perangkat lunak untuk masalah ini? bagaimana saya bisa membedakan alamat IP penyerang dari pengguna normal (koneksi dengan kecepatan transfer tinggi)?
Jawaban:
Setiap serangan DoS yang layak diperhatikan akan memiliki lebih dari satu alamat IP di belakangnya. Jika satu IP menyebabkan masalah, sesuatu tidak diatur dengan benar. Yang membawaku ke bagian dua ...
IIS dan bahkan sistem operasi adalah tempat yang salah untuk mengkhawatirkan serangan semacam ini. Anda ingin alat keamanan firewall atau gateway yang dapat mendeteksi dan memblokir lalu lintas di tingkat, sebelum pernah mencapai server Anda.
sumber
DDoS
menyerang.Jika Anda benar-benar berpikir itu DoS (dan bukan DDoS, di mana IP sumber dari para penyerang berbeda), maka Anda dapat menggunakan perintah ini untuk dengan cepat melihat koneksi jaringan di server:
sumber