Usuário com melhor resposta
Quais logs devo procurar quando acontece um ataque DDoS

Pergunta
-
Tenho um servidor dedicado nas seguintes configurações
Processador: intel i7 4.7Ghz
Memoria Ram: 64GB
HD SSD: 260GB
Sistema Operacional: Windows Server 2012 Standard R2 Licenciado
No servidor se encontram 10 Ips, onde um é fixo e os outros 9 são instalados.
Quando recebo o ataque DDoS o servidor não fica offline, mas alguns serviços param de funcionar, um deles é o MySQL
Eu pego o Ip do atacante pelo TCP View => http://i.imgur.com/Kz1YFku.png
Bloquiei o Ip no firewall do windows e de nada adiantou => http://prnt.sc/f3sf72
o mesmo ip continuou o ataque como se não estivesse bloqueado pelo firewall.
para descobrir como o ataque está sendo feito e mandar para empresa do dedicado para que eles possam me ajudar, que tipo de logs eu devo procurar no visualizador de logs do windows?
Quando eu crio uma nova regra no firewall eu preciso reiniciar a maquina para valer?
Respostas
-
Ola,
Você pode habilitar a auditoria do Windows via GPO, sendo que é mais difícil de filtras os logs ou instalar softwares de monitoramento de rede em seu servidor como o Colasoft. Assim ele vai conseguir lhe dar um report completo do IP do atacante e onde está fazendo o acesso. Muitas vezes ele pode estar vindo de algum outro equipamento que está apontado para a rede WAN.
Segue artigo de apoio que escrevi, para você conhecer o Colasoft.
http://cooperati.com.br/2016/04/25/lentidao-em-sua-rede-conheca-o-colasoft-capsa-enterprise/
Espero que ajude e qualquer coisa entre em contato.
Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart
- Marcado como Resposta Guilherme Macedo S segunda-feira, 8 de maio de 2017 12:57
Todas as Respostas
-
Boa tarde Luan Martins TI
Tudo bem contigo?
Grato pela participação no Fórum Microsoft TechNet.
Quando o serviço para, ele exibe alguma mensagem?
Olhou o Event Viewer?
Atenciosamente,
Guilherme Macedo S
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
-
Ola,
Você pode habilitar a auditoria do Windows via GPO, sendo que é mais difícil de filtras os logs ou instalar softwares de monitoramento de rede em seu servidor como o Colasoft. Assim ele vai conseguir lhe dar um report completo do IP do atacante e onde está fazendo o acesso. Muitas vezes ele pode estar vindo de algum outro equipamento que está apontado para a rede WAN.
Segue artigo de apoio que escrevi, para você conhecer o Colasoft.
http://cooperati.com.br/2016/04/25/lentidao-em-sua-rede-conheca-o-colasoft-capsa-enterprise/
Espero que ajude e qualquer coisa entre em contato.
Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart
- Marcado como Resposta Guilherme Macedo S segunda-feira, 8 de maio de 2017 12:57
-
Bom dia
Por falta de retorno esta thread esta encerrada.
Por gentileza, caso necessário abra uma nova thread.
Atenciosamente,
Guilherme Macedo S
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.