これはDOS攻撃でしょうか？

Question

私はここで少しリーグから外れています（私たちはかなり小さな会社です、私は必要に応じてsysadminを行うことに固執しているソフトウェア開発者です）が、私たちの前にServerFaultの賢い人々に私の問題について尋ねると思いましたサードパーティのITサポート会社に電話をかけました。

現在、10月に発生した急増と同様に、大規模なトラフィックの急増が発生しています。 ISPのインターネット使用状況モニターが表示される場合： Internode Traffic

過去2。5日間で、ADSL2（〜20mbps）接続が最大になっていることに気付くでしょう。皮肉なことに、その日の1つはオーストラリアの日（祝日）でした。

ロギングとインターネット接続を行うフォーティネットフォーティゲートインターネットアプライアンスを所有しています。これが私たちの使用法のスナップショットです：これは昨日撮ったものです： fortigate traffic 1

今日のこれ：

Fortigate traffic 2

昨日の朝にオフィスに到着するまで接続が完全に最大になっていたことがわかります。その後、私たちが出発するまで、接続はほぼ最大になりました（ノード間の月次履歴画像から収集できるため、通常よりもはるかに高くなっています）。その後、再び100％の使用を開始しました。最後に、11時頃にInternodeがついに私たちを制限しました（過去2日間、ヒープによって制限を超えていたので、奇妙です）。

フォーティネットのオンラインロギングおよびレポートサービスであるFAMSを定期購入しています。また、Fortigateでログをsyslogサーバーにエクスポートします。 FAMSを確認しましたが、宛先ログごとの上位のサービス使用量は次のようになります。 FAMS log

ご覧のとおり、ログに記録されるのは約8または9のみであり、これは私たちにとってほぼ正常です。少なくとも、Internodeで使用しているようにログオンした167GBの近くにはありません。

これは私を困惑させます-明らかに、Fortigateアプライアンスにはトラフィックのある種のログがあります。その使用率のスナップショットにはトラフィックのログがありますが、詳細なログにはあります（syslogはあまり表示されませんでしたが、それらを解析する方法がわかりません。効率的な方法で、私は彼らが流れ込むのを見てきました）何もありません。

私の質問は、これがどのような種類のトラフィックになる可能性があるかというアイデアです。おそらく、Fortigateは特定の種類のトラフィック（ICMP？）をログに記録する必要はなく、その種類のトラフィックを介してDOS処理されていると思います。パスワードで保護された公的にアクセス可能なURLがありますが、アップロードは割り当てに含まれていないため、そうではないと思います。

私がどこを見るべきかについてのヒントはありますか？または、大きな銃を呼び出す必要があります（または、前回のように消えるまで待つ必要があります...）

編集：これはFAMSからの別のレポートです。これは私が信じるWebリクエストによるものですが、残念ながら、これに関するすべてのポートでレポートを取得することはできません。 FAMS report 2

RodH257 · Accepted Answer

このリンクは私に答えを示しました： http://forums.Adobe.com/thread/391741

問題はAdobeが更新され、Fortigateルーターがお互いを気に入らなかったため、無限ループが発生しました。ファイアウォールのログにそのようなものが表示されるはずだと思っていたのですが、メガバイトではなく「リクエスト」バージョンを見て、1台のコンピューターが更新のためにAdobeに向かおうとしていました。

スレッドを見ると、これが問題でした。

コンピューターがAdobeを自動更新しようとしていました
アドビがアップデートファイルのダウンロードを開始
Fortigateにはhttpウイルススキャンがあり、ファイルをキャッシュしてウイルススキャンの準備をします
アドビは、遅延はダウンロードが機能しなかったことを意味すると考えているため、ダウンロードを破棄して再度要求します
これは何度も繰り返され、ファイルがクライアントPCに到達することはありません。つまり、フォーティネットの完全なログに実際に記録されることはありません。

少なくともそれらの線に沿った何か、今のところ私はHTTPリクエストのfortigatesウイルススキャンをオフにしました。ただし、Adobeをすべてからブロックするか、スキャナー設定を変更するだけです。

皆様のご協力に感謝します-感謝します！

Glenn Kelley · Answer

質問：

Webサーバー上で-ログに大量のIPアドレスが何度も表示されていますか...そしてそれらはすべて同じファイルまたはクエリをプルしています...

一般的に、dosには、ログに深く入り込んだ場合にフォローできるストリームがあります。

一時的な（またはパーマソリューション-）ネットワークから離れたファイアウォールにチェックインする場合）これは、ddosの場合に役立つ可能性があります

www.CloudFlare.com-私たちはこれをテロに関する非常に政治的なウェブサイトに使用しています。このサイトは4か月以上もDDOSを目にしていません。私たちは、文字通り毎週DDOSと戦っていました。

朗報-無料-）そしてファイアウォールとして意図されているが、一般的には無料のCDNサービスとしても機能する。

joeqwerty · Answer

トラフィック履歴には、大量のトラフィックがWANインターフェイスでインバウンドとして表示され、グラフにはトラフィックの大部分がHTTPであることが示されています。宛先IPアドレスが何であるかを確認しましたか？それらはWebですか？サーバー、ストリーミングメディアサーバーなど？これは、インターネットからファイルをダウンロードしたり、音楽やビデオをストリーミングしたりするオフィスの誰かでしょうか？DOS攻撃がこれほど多くのトラフィックを増加させることができたら、私は非常に驚きます。グラフに送信元IPアドレスと宛先IPアドレスの両方が表示されますか？これにより、何が起こっているかをより正確に把握できます。