這可能是DOS攻擊嗎?
我在這裡有點不合群(我們是一家相當小的公司,我是一名軟體開發人員,在需要時堅持做系統管理員),但我想我會在我們之前向 ServerFault 的聰明人詢問我的問題致電我們的第 3 方 IT 支持公司。
目前,我們正在經歷一個巨大的流量高峰,類似於我們在 10 月份經歷的高峰,它會自行消失。如果您看到我們的 ISP 的網際網路使用監視器:
您會注意到,在過去的 2.5 天裡,我們的 ADSL2 (~20mbps) 連接已經達到極限。具有諷刺意味的是,其中一天是澳大利亞日(公共假期)。
我們擁有一個 Fortinet Fortigate 網際網路設備,它可以完成我們的日誌記錄和網際網路連接。這是我們使用情況的快照: 這是昨天拍攝的:
今天這個:
您會看到,在我們昨天早上到達辦公室之前,連接已經完全達到極限,然後在我們離開之前,它幾乎已經達到極限(比平時高很多,您可能可以從節點間的月度歷史圖像中收集到)然後它再次開始 100% 使用。最後,在大約 11 點左右,Internode 終於限制了我們(奇怪,因為過去 2 天我們已經超過了我們的限制)。
我們訂閱了 FAMS,這是 Fortinet 的線上記錄和報告服務。我們還讓我們的 Fortigate 將我們的日誌導出到系統日誌伺服器。我查看了 FAMS,這是目標日誌的最高服務使用情況:
如您所見,那裡只記錄了大約 8 或 9 個,這對我們來說是正常的,至少它與我們在 Internode 上登錄時使用的 167gb 相差無幾。
這讓我感到困惑 - 顯然 Fortigate 設備有某種流量日誌,因為它的使用率快照在那裡,但在詳細日誌中(系統日誌沒有顯示太多,但我不知道如何在有效的方式,我一直在看他們流入)什麼都沒有。
我的問題是,任何想法這可能是什麼樣的流量?我在想也許 Fortigate 不會費心記錄某些類型的流量(ICMP ?),而我們正在通過這種類型的流量受到 DOS 攻擊。我應該提一下,我們確實有受密碼保護的可公開訪問的 URL,但我們的上傳不包含在我們的配額中,所以我認為不是這樣。
關於我應該在哪裡看的任何提示?或者我應該只打電話給大槍(或者像上次一樣等到它消失……)
編輯:這是來自 FAMS 的另一份報告,我相信這是通過網路請求進行的,不幸的是,我無法獲得所有埠的報告:
此連結指向我的答案: http ://forums.adobe.com/thread/391741
問題是 adobe 更新,我們的 fortigate 路由器彼此不喜歡,導致無限循環。我原以為這種事情應該出現在防火牆日誌中,但是我查看了“請求”版本而不是兆字節,並且一台電腦正試圖前往 adobe 進行更新。
查看執行緒,這是問題所在:
- 電腦試圖自動更新 adobe
- Adobe 開始下載更新文件
- Fortigate 具有 http 病毒掃描功能,它會記憶體文件並準備好進行病毒掃描
- Adobe 認為延遲意味著下載沒有成功,因此將其廢棄並再次請求
- 這種情況一直持續下去,文件永遠不會到達客戶端 PC,這意味著它實際上從未真正記錄在完整的 fortinet 日誌中。
至少它是這樣的,現在我已經關閉了 HTTP 請求的 fortigates 病毒掃描。但我會考慮阻止 adobe 的所有內容,或修改掃描器設置。
感謝大家的幫助 - 我很感激!