Có phải em đang bị DDoS không ạ?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Có phải em đang bị DDoS không ạ?

[Question] Có phải em đang bị DDoS không ạ?	13/10/2011 18:01:55 (+0700) \| #1 \| 248637

TND.VN
Member

Joined: 18/03/2011 08:27:20
Messages: 24
Offline

Em đang cài thử 1 server win ở nhà. Để chắc chắn trước khi đưa nó lên datacenter. Nhưng kì lạ là tự nhiên 1 vài ngày này cứ bật cái server đó lên là cả mạng của công ty bị mất. Em thử deny port 80 đi thì lại có mạng và ping vào modem bình thường. Tắt IIS cũng được kết quả tương tự.

Tắt DMZ đi thì ping đến routing toàn 50 ms :-ss . Em đã thử scan con kido những cũng không ra, quét với tool kis free cũng không có viruts nào. Em đang chạy winserver 2008 r2 sp1 update 24/24 nhưng chưa cài 1 cái AV nào.

Sau khi em config DMZ lại routing chạy TCP Viewer khoảng 30s thì thi được logs sau đây.Nhưng vì chưa có kinh nghiệm với server win nên em không hiểu là có đang bị ddos hay không ạ. Kiểm tra log của IIS thì ko thấy có gì cả :-s Hay con server này bị dính viruts đặc biệt nhỉ.

Files Logs đây ạ :-s.
http://www.mediafire.com/?6louzqrd67bfqn9
Cho em hỏi luôn nên dùng AV nào cho server win nhỉ? Cảm ơn mọi người

[Question] Có phải em đang bị DDoS không ạ?	13/10/2011 19:00:47 (+0700) \| #2 \| 248639

TND.VN
Member

Joined: 18/03/2011 08:27:20
Messages: 24
Offline

Em dùng Wireshark và bắt được các packet sau đây. Mọi người thử nhìn qua giúp em với ạ.

http://www.mediafire.com/?403qm4kvqbe1464

Network trong task manager thì thấy ko tốn tí nào nhưng cứ bật server + ISS lên là mất mạng cả công ty luôn chắc do switch quá tải @@!

[Question] Có phải em đang bị DDoS không ạ?	13/10/2011 22:12:02 (+0700) \| #3 \| 248645

TND.VN
Member

Joined: 18/03/2011 08:27:20
Messages: 24
Offline

Khi em dùng netstat -noa thì được 1 kết quả dài ngoằng thế này toàn port 135 không hiểu nó đang làm gì nữa

C:\Users\Administrator>netstat -noa

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 1124
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 648
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1936
TCP 0.0.0.0:47001 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 360
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 736
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 776
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 460
TCP 0.0.0.0:49174 0.0.0.0:0 LISTENING 452
TCP 10.0.0.10:135 113.160.102.10:2367 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.102.10:3915 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:3948 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:3974 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4008 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4032 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4064 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4094 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4115 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4122 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4166 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4182 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4205 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4215 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4218 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4261 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4266 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4276 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4281 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4300 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4329 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4339 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4375 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4389 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4399 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:46725 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.102.10:46733 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:46745 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52173 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.103.47:52175 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52177 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52180 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52181 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52182 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52183 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52184 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52186 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52187 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52188 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52189 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52190 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52191 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52192 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52193 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52194 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52195 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52196 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52197 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52198 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52200 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52201 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52202 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52204 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52205 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52206 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52207 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52208 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52209 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52210 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52212 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52213 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52214 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52215 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52216 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52217 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52218 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52219 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52220 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52221 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52222 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52223 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52224 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52225 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52226 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52227 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52228 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52229 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52230 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52232 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52233 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52234 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52235 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52236 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52237 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52238 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52239 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52240 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52241 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52242 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52243 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52244 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52245 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52246 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52247 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52248 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52249 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52250 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52251 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52252 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52253 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52254 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52255 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52256 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52257 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52259 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52260 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52261 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52262 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52263 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52268 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52270 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52271 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52272 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.56:2754 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.103.111:4340 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.103.111:4350 ESTABLISHED 648
TCP 10.0.0.10:445 113.160.109.37:4856 ESTABLISHED 4
TCP 10.0.0.10:3389 10.0.0.89:2344 ESTABLISHED 1936
TCP [::]:21 [::]:0 LISTENING 1124
TCP [::]:135 [::]:0 LISTENING 648
TCP [::]:445 [::]:0 LISTENING 4
TCP [::]:3389 [::]:0 LISTENING 1936
TCP [::]:47001 [::]:0 LISTENING 4
TCP [::]:49152 [::]:0 LISTENING 360
TCP [::]:49153 [::]:0 LISTENING 736
TCP [::]:49154 [::]:0 LISTENING 776
TCP [::]:49155 [::]:0 LISTENING 460
TCP [::]:49174 [::]:0 LISTENING 452
UDP 0.0.0.0:500 *:* 776
UDP 0.0.0.0:1434 *:* 1088
UDP 0.0.0.0:4500 *:* 776
UDP 0.0.0.0:5355 *:* 916
UDP 0.0.0.0:27015 *:* 1692
UDP 10.0.0.10:27014 *:* 1692
UDP [::]:500 *:* 776
UDP [::]:1434 *:* 1088
UDP [::]:4500 *:* 776

C:\Users\Administrator>

[Question] Có phải em đang bị DDoS không ạ?	14/10/2011 09:02:02 (+0700) \| #4 \| 248657

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Bao nhiêu đó không đủ để gọi là DDoS. Hơn nữa, chính IP trên máy của bồ kết nối đến nơi khác mà DDoS cái gì? smilie

Hãy tìm hiểu xem cổng 135 là cổng gì và IP 113.160.103.47 là IP thuộc cái gì?

What bringing us together is stronger than what pulling us apart.

[Question] Có phải em đang bị DDoS không ạ?	14/10/2011 10:08:06 (+0700) \| #5 \| 248662

TND.VN
Member

Joined: 18/03/2011 08:27:20
Messages: 24
Offline

Anh đã xem files logs của em chưa ạ ?

dòng CMD bên trên là khi em block port 80 lại còn khi mở nó ra và netstat -noa thì nó ra được tổng cộng 500 ip đang kết nỗi khác nhau. mỗi ip đang mở khoảng 5 connection .

đây là log của netstat -noa khi mở port 80 . Và nhân tiện cho em hỏi trên winserver thì làm sao để block 1 ip và 1 dải ip ạ ? Hay phải cài 1 firewall mềm ngoài nữa ạ ?

http://www.mediafire.com/?9v4jdeka3hly6zr

[Question] Có phải em đang bị DDoS không ạ?	14/10/2011 10:17:34 (+0700) \| #6 \| 248664

phuongnvt
Member

Joined: 09/02/2011 03:35:39
Messages: 332
Offline

TND.VN wrote:

Anh đã xem files logs của em chưa ạ ?

dòng CMD bên trên là khi em block port 80 lại còn khi mở nó ra và netstat -noa thì nó ra được tổng cộng 500 ip đang kết nỗi khác nhau. mỗi ip đang mở khoảng 5 connection .

đây là log của netstat -noa khi mở port 80 . Và nhân tiện cho em hỏi trên winserver thì làm sao để block 1 ip và 1 dải ip ạ ? Hay phải cài 1 firewall mềm ngoài nữa ạ ?

http://www.mediafire.com/?9v4jdeka3hly6zr

Trên Windows có sẵn firewall rồi mà dùng nó mà block, firewall trong version windows 2008 có nâng cấp thêm nhiều tính năng mới.Bạn thử tìm hiểu xem

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó

[Question] Có phải em đang bị DDoS không ạ?	14/10/2011 12:25:01 (+0700) \| #7 \| 248670

TND.VN
Member

Joined: 18/03/2011 08:27:20
Messages: 24
Offline

Em đã thử chuyển hướng DMZ sang 1 may tính khác và kis báo liên tục có tấn công mạng DoS.Generic.SYNFlood tới cổng nội bộ 80.

Vậy để làm sao phòng tránh được cái này trên winserver của mình mà không cài kis nhỉ smilie

. Hình như windows firewall vô tác dụng với cái này hay do em chưa cấu hình nhỉ :-s

[Question] Có phải em đang bị DDoS không ạ?	14/10/2011 19:21:49 (+0700) \| #8 \| 248686

mapthulu
Member

Joined: 10/06/2011 12:16:42
Messages: 28
Offline

http://winsrvtuts.com/2011/09/windows-2008-tcpip-protocol-stack-hardening-part-1/

http://www.google.com.vn/search?q=harden+tcp+windows+2008&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:vi:official&client=firefox-a

Windows khó xài hơn so với Linux smilie

Go to:

Users currently in here
1 Anonymous