6,849
社区成员
发帖
与我相关
我的任务
分享请教一下这种事什么攻击方式
服务器被人攻击,
任务管理器里看CPU很高,然后看进程里,却看不到有高负载的进程。
只要把网卡禁用,CPU一会就会回落,换个IP也行。
服务器跑着的是IIS服务,肯定和机器没关系,换了机器也尝试过,只要域名指到那台机器,
那台机器一会就这种症状。
把IIS停了好像也不行,ping起来还是高延时,不如原来是2x, 一会就会变成几百,丢包。
把IIS停了以后看的:
C:\Documents and Settings\xxxx>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 10.1.1.18:139 0.0.0.0:0 LISTENING
TCP 10.1.1.18:1035 10.1.1.36:445 ESTABLISHED
TCP 10.1.1.18:1050 10.1.1.1:139 TIME_WAIT
TCP 10.1.1.18:3389 10.1.1.36:4996 ESTABLISHED
UDP 0.0.0.0:445 *:*
UDP 10.1.1.18:137 *:*
UDP 10.1.1.18:138 *:*
cpu一样高。
任务管理器里看CPU很高,然后看进程里,却看不到有高负载的进程。
只要把网卡禁用,CPU一会就会回落,换个IP也行。
服务器跑着的是IIS服务,肯定和机器没关系,换了机器也尝试过,只要域名指到那台机器,
那台机器一会就这种症状。
把IIS停了好像也不行,ping起来还是高延时,不如原来是2x, 一会就会变成几百,丢包。
把IIS停了以后看的:
C:\Documents and Settings\xxxx>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 10.1.1.18:139 0.0.0.0:0 LISTENING
TCP 10.1.1.18:1035 10.1.1.36:445 ESTABLISHED
TCP 10.1.1.18:1050 10.1.1.1:139 TIME_WAIT
TCP 10.1.1.18:3389 10.1.1.36:4996 ESTABLISHED
UDP 0.0.0.0:445 *:*
UDP 10.1.1.18:137 *:*
UDP 10.1.1.18:138 *:*
cpu一样高。
...全文
请发表友善的回复…
发表回复
busymj 2006-12-21
- 打赏
- 举报
如果是网络攻击,很少能导致这么严重后果的。
个人感觉有点像广播风暴,建议从网络抓包开始,
查看一下网卡上接收到的大量数据包是什么格式,是否为广播包。
如果是ARP或是WINS的广播包,建议从网络设备与拓扑连接方面来着手解决问题。
个人感觉有点像广播风暴,建议从网络抓包开始,
查看一下网卡上接收到的大量数据包是什么格式,是否为广播包。
如果是ARP或是WINS的广播包,建议从网络设备与拓扑连接方面来着手解决问题。
lukejiang 2006-12-19
- 打赏
- 举报
抓包
以前碰到过 最后确定是icmp重定向攻击
以前碰到过 最后确定是icmp重定向攻击
Owl_xiang 2006-12-19
- 打赏
- 举报
麦咖啡就可以防 SYN FLOOD嘛
Eri 2006-06-26
- 打赏
- 举报
一般来说,如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat 命令能看到大量SYN_RCVD的半连接(数量>500或占总连接数的10%以上),可以认定,这个系统(或主机)遭到了SYN Flood攻击。
netstat根本看不到东西。
netstat根本看不到东西。
猪儿滚滚 2006-06-25
- 打赏
- 举报
应该是 SYN FLOOD吧,检查TCP/IP的HALF OPEN数目是否过大
Eri 2006-06-25
- 打赏
- 举报
怎么判断
SYN FLOOD?
SYN FLOOD?
KeSummer 2006-06-25
- 打赏
- 举报
SYN FLOOD吗?
Eri 2006-06-25
- 打赏
- 举报
IIS 日志?几乎没有,IIS服务已经崩溃了。
带宽是高带宽占用,平均在50Mbps多。
平常也就10M以下。
带宽是高带宽占用,平均在50Mbps多。
平常也就10M以下。
ccnp_Server 2006-06-25
- 打赏
- 举报
检查一下你的IIS日志 还有带宽资源占用率的监控图!
ccnp_Server 2006-06-25
- 打赏
- 举报
只要把网卡禁用,CPU一会就会回落,换个IP也行。
....貌似DDoS的原始攻击原理,耗费带宽与系统资源为其主要目的,可以应用blackICE进行基础型的适当防御
比较鸡肋的防御措施应用地址转向...
以上发言俺不负全责~! 我是说我说的只是我想到的一方面,但也不确定!
....貌似DDoS的原始攻击原理,耗费带宽与系统资源为其主要目的,可以应用blackICE进行基础型的适当防御
比较鸡肋的防御措施应用地址转向...
以上发言俺不负全责~! 我是说我说的只是我想到的一方面,但也不确定!
