Как я могу проверить безопасность своего сервера? Я думаю, что нахожусь под DoS
У меня есть сервер с ОС Windows. На сервере работает множество виртуальных машин с использованием HYPER-V. Виртуальные машины доступны в Интернете. Существует одна виртуальная машина, на которой выполняется NAT с использованием Windows RRAS, которая подключена к маршрутизатору на одном конце и к внутренней сети на другом.Все остальные виртуальные машины подключены к внутренней сети. Есть несколько портов, назначенных для доступа к таким службам, как http, https, почта и т. Д.
На сервере также работает служба игрового сервера, и это привлекло внимание разгневанного пользователя, который, я думаю, может быть DDoS-атакует меня. Мне нужно знать, как он выполняет атаки, и не допустить их повторения. Хорошим плюсом было бы иметь возможность вести протоколы атак и другие свидетельства атак, которые можно было бы сообщить властям. До сих пор я думал, что с безопасностью сервера все в порядке, но похоже, что нет.
Полный список доступных сервисов на виртуальных машинах: apache 2.4 с php и mysql, exchange 2016, телефонная система 3CX, RRAS для VPN, игровой сервер ARK. Существуют и другие службы, но их нельзя использовать в Интернете.
Извините за это, я не знаком с php и mysql, телефонной системой 3CX и т. Д. Но для безопасности сервера Exchange вы можете использовать некоторые фильтры спама или правила транспорта (например: Если отправитель находится за пределами организации, перешлите сообщение для утверждения одному или нескольким людям ) для модерации внешних электронных писем, или вы можете включить функцию защиты от спама на серверах почтовых ящиков , чтобы предотвратить спам.
Кроме того, вот один документ о 9 шагах по защите сервера Exchange, надеюсь, он будет вам полезен: Девять шагов по защите вашего сервера Exchange
Вы пишете, что "думаете", что кто-то вас использует DOS или DDOS.
DDOS должно быть легко обнаружить след. На пайпе просто ОЧЕНЬ много трафика, который должен быть сразу виден на ваших графиках мониторинга. Чтобы получить более подробную информацию, просто на время сбросьте WAN-трафик (с помощью wirehark, tcpdump или чего-то еще). Это возможно прямо на вашем хосте RRAS. Затем проверьте, какие IP-адреса отправляют какой трафик. Это может занять немного больше времени, но если это настоящий DDOS, вы сможете обнаружить нежелательные пакеты почти сразу (только потому, что их так много) и соответствующим образом настроить брандмауэр.
То же самое касается и DOS; возможно, немного сложнее определить «правильные» пакеты (те, которые вызывают проблемы), но если это продолжающаяся атака, это тоже должно быть возможным.
Атака DOS выявляет (обычно) недостатки в вашем программном обеспечении . Если игровой сервер подвергся атаке, проверьте его обновления, советы по безопасности и руководства по усилению защиты. Если другие службы подвергаются атаке, то же самое касается и них.
И для DOS: просто потому, что одна служба не работает, это не влияет на другие. DDOS вызовет у вас трубу к любой службе, так что это должно быть совершенно очевидно.