Comment trouver l'adresse IP source de l'attaque DoS dans Windows Server 2008?

2

J'ai un windows server 2008 R2qui est victime d'une DoSattaque. Comment puis-je savoir quelle IPest la source de l'attaque?

J'ai un anti DoSmodule IIS 7.0qui fonctionne bien, mais il semble que la destination ne soit pas le port 80 et que l'attaque soit aveugle (l'attaquant a attaqué des adresses IP qui ne sont pas les miennes) et ne consomme que ma bande passante. J'ai une carte réseau de 1000 Mbps qui est pleinement utilisée par l'attaquant, donc il a au moins un serveur avec 1000 Mbps. J'ai une bande passante illimitée sur ce centre de données, mais le support de la sécurité est affreux.

J'ai essayé 'TCPView' pour trouver plus de détails, mais le serveur se bloque lorsque l'attaque est lancée en raison d'une utilisation élevée du processeur (100%).

Existe-t-il une solution logicielle à ce problème? comment puis-je distinguer l'adresse IP de l'attaquant des utilisateurs normaux (connexions avec un taux de transfert élevé)?

Xaqron
la source
Avez-vous une sorte de pare-feu dans la voie (si oui, quel modèle?), Ou juste le pare-feu logiciel? Est-ce assis sur Internet, ou NAT'ted? Avez-vous besoin d’autres ports ouverts autres que 80?
KCotreau

Réponses:

6

Toute attaque par déni de service qui mérite qu'on s'y attarde aura bien plus qu'une seule adresse IP derrière elle. Si une adresse IP vous cause des problèmes, quelque chose n’est pas configuré correctement. Ce qui m'amène à la deuxième partie ...

IIS et même le système d'exploitation est le mauvais endroit pour s'inquiéter de ce type d'attaque. Vous voulez un pare-feu ou une appliance de sécurité de passerelle capable de détecter et de bloquer le trafic au niveau, avant même qu’il n’atteigne votre serveur.

Joel Coehoorn
la source
+1 Je me demandais si cela ressemblait à beaucoup de ces services de cloud, où la VM n’a fondamentalement pas de pare-feu matériel lui permettant d’abandonner de telles connexions.
KCotreau
+1 Vous avez raison. C'était une DDoSattaque.
Xaqron
2

Si vous pensez vraiment que c'est un DoS (et non un DDoS, où les IP sources des attaquants sont différents), vous pouvez utiliser cette commande pour afficher rapidement les connexions réseau sur le serveur:

netstat -an 
Vinay Kudithipudi
la source
Et s’il ya 200 utilisateurs normaux sur le serveur, comment puis-je connaître l’utilisation de la bande passante et identifier le pirate des utilisateurs normaux?
Xaqron