none
Quais logs devo procurar quando acontece um ataque DDoS RRS feed

  • Pergunta

  • Tenho um servidor dedicado nas seguintes configurações

    Processador: intel i7 4.7Ghz

    Memoria Ram: 64GB

    HD SSD: 260GB

    Sistema Operacional: Windows Server 2012 Standard R2 Licenciado

    No servidor se encontram 10 Ips, onde um é fixo e os outros 9 são instalados.

    Quando recebo o ataque DDoS o servidor não fica offline, mas alguns serviços param de funcionar, um deles é o MySQL

    Eu pego o Ip do atacante pelo TCP View => http://i.imgur.com/Kz1YFku.png

    Bloquiei o Ip no firewall do windows e de nada adiantou => http://prnt.sc/f3sf72

    o mesmo ip continuou o ataque como se não estivesse bloqueado pelo firewall.

    para descobrir como o ataque está sendo feito e mandar para empresa do dedicado para que eles possam me ajudar, que tipo de logs eu devo procurar no visualizador de logs do windows?

    Quando eu crio uma nova regra no firewall eu preciso reiniciar a maquina para valer?

    quarta-feira, 3 de maio de 2017 20:58

Respostas

  • Ola,


    Você pode habilitar a auditoria do Windows via GPO, sendo que é mais difícil de filtras os logs ou instalar softwares de monitoramento de rede em seu servidor como o Colasoft. Assim ele vai conseguir lhe dar um report completo do IP do atacante e onde está fazendo o acesso. Muitas vezes ele pode estar vindo de algum outro equipamento que está apontado para a rede WAN.

    Segue artigo de apoio que escrevi, para você conhecer o Colasoft.

    http://cooperati.com.br/2016/04/25/lentidao-em-sua-rede-conheca-o-colasoft-capsa-enterprise/

    Espero que ajude e qualquer coisa entre em contato.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    sexta-feira, 5 de maio de 2017 18:44
    Moderador

Todas as Respostas

  • Boa tarde Luan Martins TI

    Tudo bem contigo?

    Grato pela participação no Fórum Microsoft TechNet.

    Quando o serviço para, ele exibe alguma mensagem?

    Olhou o Event Viewer?

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    sexta-feira, 5 de maio de 2017 17:20
  • Ola,


    Você pode habilitar a auditoria do Windows via GPO, sendo que é mais difícil de filtras os logs ou instalar softwares de monitoramento de rede em seu servidor como o Colasoft. Assim ele vai conseguir lhe dar um report completo do IP do atacante e onde está fazendo o acesso. Muitas vezes ele pode estar vindo de algum outro equipamento que está apontado para a rede WAN.

    Segue artigo de apoio que escrevi, para você conhecer o Colasoft.

    http://cooperati.com.br/2016/04/25/lentidao-em-sua-rede-conheca-o-colasoft-capsa-enterprise/

    Espero que ajude e qualquer coisa entre em contato.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    sexta-feira, 5 de maio de 2017 18:44
    Moderador
  • Bom dia

    Por falta de retorno esta thread esta encerrada.

    Por gentileza, caso necessário abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 8 de maio de 2017 12:57