J'ai un windows server 2008 R2qui est victime d'une DoSattaque. Comment puis-je savoir quelle IPest la source de l'attaque?
J'ai un anti DoSmodule IIS 7.0qui fonctionne bien, mais il semble que la destination ne soit pas le port 80 et que l'attaque soit aveugle (l'attaquant a attaqué des adresses IP qui ne sont pas les miennes) et ne consomme que ma bande passante. J'ai une carte réseau de 1000 Mbps qui est pleinement utilisée par l'attaquant, donc il a au moins un serveur avec 1000 Mbps. J'ai une bande passante illimitée sur ce centre de données, mais le support de la sécurité est affreux.
J'ai essayé 'TCPView' pour trouver plus de détails, mais le serveur se bloque lorsque l'attaque est lancée en raison d'une utilisation élevée du processeur (100%).
Existe-t-il une solution logicielle à ce problème? comment puis-je distinguer l'adresse IP de l'attaquant des utilisateurs normaux (connexions avec un taux de transfert élevé)?
Réponses:
Toute attaque par déni de service qui mérite qu'on s'y attarde aura bien plus qu'une seule adresse IP derrière elle. Si une adresse IP vous cause des problèmes, quelque chose n’est pas configuré correctement. Ce qui m'amène à la deuxième partie ...
IIS et même le système d'exploitation est le mauvais endroit pour s'inquiéter de ce type d'attaque. Vous voulez un pare-feu ou une appliance de sécurité de passerelle capable de détecter et de bloquer le trafic au niveau, avant même qu’il n’atteigne votre serveur.
la source
DDoSattaque.Si vous pensez vraiment que c'est un DoS (et non un DDoS, où les IP sources des attaquants sont différents), vous pouvez utiliser cette commande pour afficher rapidement les connexions réseau sur le serveur:
la source