Конференция VBStreets

Есть один 2003-сервер (iis, маршрутизатор и т.п), при подключении через rdp или radmin идут жуткие тормоза, но процессор не загружен, память не использована, на винтах место есть. Попытка зайти на http заканчивается сообщением Service Unavailable, из-за чего и появилось подозрение. Сервер работает уже года три, таких симптомов не было.

Как определить, ddos это или нет? Может ли это определить провайдер? На заданный (не мной пока что) вопрос о происходящем, в ответ лишь невнятное мычание и комментарий "у нас все в порядке".

Может злобный вирус/сетевой червь, забивающий сеть своими запросами?

Если есть возможность, можно попробовать посмотреть трафик с помощью Wireshark

Вряд ли вирус. Если бы он забивал сеть, то сайт худо-бедно грузился бы, а не сразу выдавал Service Unavailable.

Так у тебя есть к нему локальный доступ или только удаленно. если да то поставь хотя-бы Outpost Firewall Pro - ну или анализатор трафика какой ни-будь, можешь даже еще один маршрутизатор(лучше hardware) в сеть между серваком и что у тебя там еще, воткнуть и пасти логи. К примеру мой Zyxel Prestige HW - строчит логи на ура и про DDoS в том числе да в общем дело за фантазией.

Только анализом трафика. Ну или лога поступающих на http запросов.

В данный момент удаленный и очень неустойчивый. Маршрутизатором выступает сам сервер. Фаерволлы, а особенно этот глючный аутпост, несовместимы со службой маршрутизации.

Удалось достучаться до сервисов и вырубить IIS, тормоза пропали.

Antonariy писал(а): Фаерволлы, а особенно этот глючный аутпост, несовместимы со службой маршрутизации.

Хм, ну так отключил-бы ее на время анализа. Я как то ставил его на sbs 2003, 4 версию, глюков не заметил, ну правда я с ним долго не игрался, удалил через пару дней.

Включи QoS, чтобы весь канал не забивался.
Может DDoS, а может просто баг в IIS/сайте, который сейчас стал проявляться.
Что с загрузкой сети? Perfomance Monitor используется?

Dmitriy2003 писал(а):Хм, ну так отключил-бы ее на время анализа.

И отключил внутреннюю сеть от интернета. А то и сам отключился бы.

Antonariy писал(а):тормоза пропали

Это я погорячился, тормоза не пропали, а чуть умньшились. Отключил почту, уменьшились еще, но все равно до нормы далеко.

alibek писал(а):Включи QoS, чтобы весь канал не забивался.

Не нашел ее в службах. У себя на xp нашел QoS RSVP, а там вообще ничего похожего.

alibek писал(а):Что с загрузкой сети? Perfomance Monitor используется?

Странные вещи он показывает. Нагрузка на внешний сетевой интерфейс не превышает цифру 3. Пики обмена страниц до 60 могут приходиться на лаги, а могут и не приходиться. При этом до ста приходятся на переключение между окнами, когда лагов нет. В общем, я затрудняюсь интерпретировать его показания.

Antonariy писал(а):И отключил внутреннюю сеть от интернета. А то и сам отключился бы.

Да е мое, это-же не единственное решение - раз для тебя не подходит не делай так, делай по другому, кстати если можешь добраться до логов сервера что там ? Все в порядке ? Ну и если возможно внешнее подключение к IIS на сервере дай что-ли адрес помогу потестить доступность.

Мне посчастливилось залогиниться на сервер в момент, когда лаги пропали, и по графикам Tmeter'а и почтовика выяснить, что лаги происходят именно из-за почты. Однако у почтовика стоит ограничение на занимаемую ширину канала - следовательно провайдер сузил канал до нескольких килобайт, хотя вчера они говорили, что никаких ограничений нет. Сейчас я жду, пока сервер откроет speedtest.net, чтобы узнать точные цифры.

У меня появились серьезные сомнения в чистоплотности провайдера. Фирма, которая владеет сервером говорит, что им выставляют нехилые счета за трафик, однако Tmeter у меня последние пару лет все исправно записывает в базу, и по его данным выходит, что за январь и февраль было скачано не более, чем по 4гб. Но это же ерунда. В связи с этим вопрос: может я фильтр не правильно настроил? В компе два сетевых интерфейса, один подключен к хабу, второй к провайдеру, весь трафик проходит через сервер. Тметр смотрит только внешний интерфейс, адреса 192.168.10.* добавлены в список локальных, в фильтре указано считать трафик My IP <-> Wan IPs. Будет ли в этом случае учитываться трафик внутренней сети, проходящий через сервер, или только трафик, генерируемый самим сервером?

Насчет ограничения ширины канала.
Представь себе бутылку, перевернутую вверх дном. В нее наливают сверху воду, снизу она выливается.
Диаметр бутылки — ширина канала, который тебе дает провайдер, диаметр горлышка — используемая ширина канала, которую задал ты.
Ты можешь контроллировать трафик, который выливается из горлышка. Но входящий канал будет забиваться до твоего фильтра. Если он превышает (например из-за DDoS-атаки или неправильно настроенных сетевых служб) ширину канала провайдера, то твой канал будет забит, независимо от того, как шейперы настроены у тебя.
Есть есть подозрения на обман провайдера, то померяй канал с помощью утилиты iperf. На сервере отключи все сетевые службы и запусти iperf в режиме сервера, где-нибудь снаружи на машине с широким каналом запусти iperf в режиме клиента, он тебе покажет, сколько смог пропустить через твой канал.

Antonariy писал(а):Однако у почтовика стоит ограничение на занимаемую ширину канала - следовательно провайдер сузил канал до нескольких килобайт, хотя вчера они говорили, что никаких ограничений нет.

Уточни у провайдера, как именно произведено подключение по интернету.
Если выбран тариф с оплатой за трафик, то им нет смысла ограничивать скорость. Чем выше скорость, тем меньше времени канал будет загружен и тем больше будет плата. Хотя если выбран безлимитный тариф, то непонятно, причем тут слова "им выставляют нехилые счета за трафик".
Если тариф действительно безлимитный, то нужно уточнить, есть ли на нем какие-нибудь ограничения. Настоящий безлимит, когда предоставляется фиксированная скорость независимо от загрузки канала, обычно стоит дорого. Чаще бывает условный безлимит, когда при превышении определенного порога (например по трафику) снижается скорость.

speedtest наконец-то прочухался и показал download 2мб, upload 0,01мб. Не удивительно, что очередь из пары сотен писем со 100кб вложениями забила канал на весь день.

Остальные вопросы поеду выяснять лично.

Antonariy писал(а):Однако у почтовика стоит ограничение на занимаемую ширину канала

Не 10 Кбит/с?

Нет, у него оказывается лишь ограничения на кол-во подключений, ширину канала я где-то в другом месте подсмотрел.

Все выяснилось, ни сервер ни админ ни злобные хакеры ни в чем не виноваты, это проблема в оборудовании провайдера, установленном в здании. У соседей те же проблемы — низкая скорость аплоада. Счета за трафик тоже адекватные, просто они там сами не совсем представляют, какой объем почты генерят. Показания тметра и объем по незатертым логам почтовика примерно соответствуют суммам за переплату.