辨識 Windows 2008 伺服器上的 DDOS 攻擊

最近，我的監控服務通知我一些 Windows 2008 伺服器（hyper-v 實例）已關閉。

我登錄到 Hyper-V 盒子，發現一切都超級慢。我打開任務管理器，發現雖然 CPU 和 RAM 都很好，但我們的“公共”網卡上的網路使用率為 99%。

這持續了大約 10 分鐘，在此期間我發現禁用其中一台伺服器的入站連接導致網路飽和度下降到正常水平。我禁用了該伺服器的入站連接以允許其他伺服器執行，最終流量消失了。

我懷疑這是 DDOS 或正常的拒絕服務攻擊，但它似乎很隨機。有問題的伺服器的可見性非常低，並且不會有很多價值來自有人將其關閉。

判斷我是否遇到 DDOS 攻擊的最佳方法是什麼？還有什麼你能想到的會導致這種情況的，如果有，我應該尋找什麼？

編輯：這又發生了。我試過 netstat -noa 但沒有看到任何有用的東西。我希望有一些我可以執行的命令或程序可以告訴我每個 IP 使用了多少頻寬（即，它說網路使用率是 100%，但它是如何加起來的）。有這樣的東西存在嗎？

可能這會有所幫助嗎？

檢測 Windows 2003 / 2008 伺服器上的 DoS / DDoS 攻擊

netstat 是一個命令行實用程序，它顯示系統中的協議統計資訊和目前 TCP/IP 網路連接。鍵入以下命令以查看所有連接：

netstat -noa

在哪裡，

1. n：顯示活動的 TCP 連接，但是，地址和埠號以數字表示，不嘗試確定名稱。
2. o：顯示活動的 TCP 連接並包括每個連接的程序 ID (PID)。您可以在 Windows 任務管理器的程序選項卡上找到基於 PID 的應用程序。
3. a：顯示所有活動的 TCP 連接以及電腦正在偵聽的 TCP 和 UDP 埠。

伺服器通常使用連接而不是數據包進行 DoS。

因此，並不總是需要充分利用網路路徑。

如果你是 DDoS/DoS，它應該在入站路徑中觸發了你的 IDS（假設你有一個）。

既然您說它是一個低可見度的 Web 伺服器，那麼它可能是您企業內部或外部的某個人以全速率wget活動來鏡像它嗎？如果您的上行鏈路上有足夠的頻寬，那將會阻塞您的 HyperV 系統。它還可以解釋短暫的“攻擊”。

引用自：https://serverfault.com/questions/40176