互联网 – 这可能是DOS攻击吗?

前端之家收集整理的这篇文章主要介绍了互联网 – 这可能是DOS攻击吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在这里有点不合适(我们是一个相当小的公司,我是一个软件开发人员,在需要的时候做系统管理员),但我想我会在ServerFault上向聪明的人询问我的问题之前我们在我们的第三方IT支持公司中召集.

我们目前正在经历大规模的交通飙升,类似于我们在10月份经历的飙升,这种飙升自行消失了.如果你看到我们ISP的互联网使用情况监测器:

您会注意到,在过去的2.5天里,我们一直在最大化ADSL2(~20mbps)连接.具有讽刺意味的是,那是其中一天的澳大利亚日(公众假期).

我们拥有Fortinet Fortigate Internet设备,可以进行日志记录和互联网连接.以下是我们使用的快照:
昨天这个:

今天这个:

在我们昨天早上到达办公室之前,你会看到连接完全被超出,然后它几乎被淘汰(比平时高很多,因为你可以从节间月度历史图像中收集)直到我们离开然后它再次开始100%使用.最后,在11岁左右,Internode最终限制了我们(奇怪的是,鉴于过去2天我们已经超过了我们的极限).

我们订阅了FAMS,Fortinet的在线日志和报告服务.我们还将Fortigate导出到syslog服务器.我查看了FAMS,这就是目标日志的顶级服务使用情况:

正如你所看到的那样,那里只有大约8或9个记录,这对我们来说是正常的,至少它不是我们已经在使用的节点上记录的167gb附近.

这让我很困惑 – 显然Fortigate设备有一些流量日志,因为它的利用率快照在那里,但在详细日志中(系统日志没有显示太多,但我不知道如何解析它们有效的方式,我一直在看他们流中)没有什么.

我的问题是,任何想法可以是什么样的流量?我想也许Fortigate不会记录某些类型的流量(ICMP?)而我们正在通过这种类型的流量进行DOS管理.我应该提到我们确实有可以通过密码保护的可公开访问的URL,但我们的上传不包含在我们的配额中,所以我不认为是这样.

关于我应该在哪里寻找的提示?或者我应该只是打电话给大枪(或者只是等到它像上次一样消失……)

编辑:这是FAMS的另一份报告,我认为这是一个Web请求,不幸的是我无法在所有端口上获取报告:

这个链接指出了我的答案:
http://forums.adobe.com/thread/391741

问题是adobe更新了,我们的强制路由器不喜欢彼此,导致无限循环.我本以为防火墙日志中应该会出现这种情况,但我查看了“请求”版本而不是兆字节,一台计算机试图前往adobe进行更新.

看看这个帖子,这就是问题所在:

>计算机正在尝试自动更新
土砖
> Adob​​e开始下载更新文件
> Fortigate有http病毒扫描,它缓存文件获取
准备进行病毒扫描
> Adob​​e认为延迟意味着下载没有用,所以
它会废弃它并再次询问它
>这一直在继续,文件永远不会到达客户端PC,这意味着
它永远不会真正登录
完整的fortinet日志.

至少它是这样的东西,现在我已经关闭了对HTTP请求的强大病毒扫描.但我会研究阻止adobe从一切,或修改扫描仪设置.

感谢大家的帮助 – 我很感激!

猜你在找的Windows相关文章