Подозрение на DDoS

Все темы, касающиеся администрирования и работы с Windows/Windows Server.

Модератор: Sebas

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Подозрение на DDoS

Сообщение Antonariy » 24.02.2011 (Чт) 14:55

Есть один 2003-сервер (iis, маршрутизатор и т.п), при подключении через rdp или radmin идут жуткие тормоза, но процессор не загружен, память не использована, на винтах место есть. Попытка зайти на http заканчивается сообщением Service Unavailable, из-за чего и появилось подозрение. Сервер работает уже года три, таких симптомов не было.

Как определить, ddos это или нет? Может ли это определить провайдер? На заданный (не мной пока что) вопрос о происходящем, в ответ лишь невнятное мычание и комментарий "у нас все в порядке".
Лучший способ понять что-то самому — объяснить это другому.

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Re: Подозрение на DDoS

Сообщение VVitafresh » 24.02.2011 (Чт) 15:09

Может злобный вирус/сетевой червь, забивающий сеть своими запросами?

Если есть возможность, можно попробовать посмотреть трафик с помощью Wireshark
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: Подозрение на DDoS

Сообщение Antonariy » 24.02.2011 (Чт) 15:25

Вряд ли вирус. Если бы он забивал сеть, то сайт худо-бедно грузился бы, а не сразу выдавал Service Unavailable.
Лучший способ понять что-то самому — объяснить это другому.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Подозрение на DDoS

Сообщение Dmitriy2003 » 24.02.2011 (Чт) 15:36

Так у тебя есть к нему локальный доступ или только удаленно. если да то поставь хотя-бы Outpost Firewall Pro - ну или анализатор трафика какой ни-будь, можешь даже еще один маршрутизатор(лучше hardware) в сеть между серваком и что у тебя там еще, воткнуть и пасти логи. К примеру мой Zyxel Prestige HW - строчит логи на ура и про DDoS в том числе да в общем дело за фантазией.

iGrok
Артефакт VBStreets
Артефакт VBStreets
 
Сообщения: 4272
Зарегистрирован: 10.05.2007 (Чт) 16:11
Откуда: Сетевое сознание

Re: Подозрение на DDoS

Сообщение iGrok » 24.02.2011 (Чт) 15:52

Только анализом трафика. Ну или лога поступающих на http запросов.
label:
cli
jmp label

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: Подозрение на DDoS

Сообщение Antonariy » 24.02.2011 (Чт) 16:23

В данный момент удаленный и очень неустойчивый. Маршрутизатором выступает сам сервер. Фаерволлы, а особенно этот глючный аутпост, несовместимы со службой маршрутизации.

Удалось достучаться до сервисов и вырубить IIS, тормоза пропали.
Лучший способ понять что-то самому — объяснить это другому.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Подозрение на DDoS

Сообщение Dmitriy2003 » 24.02.2011 (Чт) 16:43

Antonariy писал(а): Фаерволлы, а особенно этот глючный аутпост, несовместимы со службой маршрутизации.

Хм, ну так отключил-бы ее на время анализа. Я как то ставил его на sbs 2003, 4 версию, глюков не заметил, ну правда я с ним долго не игрался, удалил через пару дней.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Подозрение на DDoS

Сообщение alibek » 24.02.2011 (Чт) 16:49

Включи QoS, чтобы весь канал не забивался.
Может DDoS, а может просто баг в IIS/сайте, который сейчас стал проявляться.
Что с загрузкой сети? Perfomance Monitor используется?
Lasciate ogni speranza, voi ch'entrate.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: Подозрение на DDoS

Сообщение Antonariy » 24.02.2011 (Чт) 18:39

Dmitriy2003 писал(а):Хм, ну так отключил-бы ее на время анализа.
И отключил внутреннюю сеть от интернета. А то и сам отключился бы.

Antonariy писал(а):тормоза пропали

Это я погорячился, тормоза не пропали, а чуть умньшились. Отключил почту, уменьшились еще, но все равно до нормы далеко.

alibek писал(а):Включи QoS, чтобы весь канал не забивался.
Не нашел ее в службах. У себя на xp нашел QoS RSVP, а там вообще ничего похожего.

alibek писал(а):Что с загрузкой сети? Perfomance Monitor используется?
Странные вещи он показывает. Нагрузка на внешний сетевой интерфейс не превышает цифру 3. Пики обмена страниц до 60 могут приходиться на лаги, а могут и не приходиться. При этом до ста приходятся на переключение между окнами, когда лагов нет. В общем, я затрудняюсь интерпретировать его показания.
Лучший способ понять что-то самому — объяснить это другому.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Подозрение на DDoS

Сообщение Dmitriy2003 » 24.02.2011 (Чт) 18:59

Antonariy писал(а):И отключил внутреннюю сеть от интернета. А то и сам отключился бы.

Да е мое, это-же не единственное решение - раз для тебя не подходит не делай так, делай по другому, кстати если можешь добраться до логов сервера что там ? Все в порядке ? Ну и если возможно внешнее подключение к IIS на сервере дай что-ли адрес помогу потестить доступность. :)

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: Подозрение на DDoS

Сообщение Antonariy » 25.02.2011 (Пт) 9:01

Мне посчастливилось залогиниться на сервер в момент, когда лаги пропали, и по графикам Tmeter'а и почтовика выяснить, что лаги происходят именно из-за почты. Однако у почтовика стоит ограничение на занимаемую ширину канала - следовательно провайдер сузил канал до нескольких килобайт, хотя вчера они говорили, что никаких ограничений нет. Сейчас я жду, пока сервер откроет speedtest.net, чтобы узнать точные цифры.

У меня появились серьезные сомнения в чистоплотности провайдера. Фирма, которая владеет сервером говорит, что им выставляют нехилые счета за трафик, однако Tmeter у меня последние пару лет все исправно записывает в базу, и по его данным выходит, что за январь и февраль было скачано не более, чем по 4гб. Но это же ерунда. В связи с этим вопрос: может я фильтр не правильно настроил? В компе два сетевых интерфейса, один подключен к хабу, второй к провайдеру, весь трафик проходит через сервер. Тметр смотрит только внешний интерфейс, адреса 192.168.10.* добавлены в список локальных, в фильтре указано считать трафик My IP <-> Wan IPs. Будет ли в этом случае учитываться трафик внутренней сети, проходящий через сервер, или только трафик, генерируемый самим сервером?
Лучший способ понять что-то самому — объяснить это другому.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Подозрение на DDoS

Сообщение alibek » 25.02.2011 (Пт) 9:21

Насчет ограничения ширины канала.
Представь себе бутылку, перевернутую вверх дном. В нее наливают сверху воду, снизу она выливается.
Диаметр бутылки — ширина канала, который тебе дает провайдер, диаметр горлышка — используемая ширина канала, которую задал ты.
Ты можешь контроллировать трафик, который выливается из горлышка. Но входящий канал будет забиваться до твоего фильтра. Если он превышает (например из-за DDoS-атаки или неправильно настроенных сетевых служб) ширину канала провайдера, то твой канал будет забит, независимо от того, как шейперы настроены у тебя.
Есть есть подозрения на обман провайдера, то померяй канал с помощью утилиты iperf. На сервере отключи все сетевые службы и запусти iperf в режиме сервера, где-нибудь снаружи на машине с широким каналом запусти iperf в режиме клиента, он тебе покажет, сколько смог пропустить через твой канал.
Lasciate ogni speranza, voi ch'entrate.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Подозрение на DDoS

Сообщение alibek » 25.02.2011 (Пт) 9:27

Antonariy писал(а):Однако у почтовика стоит ограничение на занимаемую ширину канала - следовательно провайдер сузил канал до нескольких килобайт, хотя вчера они говорили, что никаких ограничений нет.

Уточни у провайдера, как именно произведено подключение по интернету.
Если выбран тариф с оплатой за трафик, то им нет смысла ограничивать скорость. Чем выше скорость, тем меньше времени канал будет загружен и тем больше будет плата. Хотя если выбран безлимитный тариф, то непонятно, причем тут слова "им выставляют нехилые счета за трафик".
Если тариф действительно безлимитный, то нужно уточнить, есть ли на нем какие-нибудь ограничения. Настоящий безлимит, когда предоставляется фиксированная скорость независимо от загрузки канала, обычно стоит дорого. Чаще бывает условный безлимит, когда при превышении определенного порога (например по трафику) снижается скорость.
Lasciate ogni speranza, voi ch'entrate.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: Подозрение на DDoS

Сообщение Antonariy » 25.02.2011 (Пт) 9:43

speedtest наконец-то прочухался и показал download 2мб, upload 0,01мб. Не удивительно, что очередь из пары сотен писем со 100кб вложениями забила канал на весь день.

Остальные вопросы поеду выяснять лично.
Лучший способ понять что-то самому — объяснить это другому.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Подозрение на DDoS

Сообщение alibek » 25.02.2011 (Пт) 10:31

Antonariy писал(а):Однако у почтовика стоит ограничение на занимаемую ширину канала

Не 10 Кбит/с?
Lasciate ogni speranza, voi ch'entrate.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Re: Подозрение на DDoS

Сообщение Antonariy » 25.02.2011 (Пт) 14:58

Нет, у него оказывается лишь ограничения на кол-во подключений, ширину канала я где-то в другом месте подсмотрел.

Все выяснилось, ни сервер ни админ :) ни злобные хакеры ни в чем не виноваты, это проблема в оборудовании провайдера, установленном в здании. У соседей те же проблемы — низкая скорость аплоада. Счета за трафик тоже адекватные, просто они там сами не совсем представляют, какой объем почты генерят. Показания тметра и объем по незатертым логам почтовика примерно соответствуют суммам за переплату.
Лучший способ понять что-то самому — объяснить это другому.


Вернуться в Windows (администрирование)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

    TopList  
cron