Вот что показал TCPView

Marsikus · 24.11.2009

Вот что показал TCPView

Вот что показал TCPView на Windows Server 2003 Standard. Также наблюдается нестабильная скорость доступа к сайту на IIS. Сканировал cureit-ом - ничего, сейчас ms malicious software removal tool завершает поиск и тоже ничего не находит. Вчера на какое-то время сервер вообще перестал отвечать по сети на попытки подключиться к IIS, ftp, RDP. Что за хрень может происходить?

roader · 24.11.2009

судя по всему твой серв считает что его атакуют и рубит соединение

а логи вообще для кого пишуться не подскажешь?

Marsikus · 24.11.2009

Поставил счетчики производительности. Счетчики памяти, диска и процессора подозрений не вызывают, а вот TCPv4 показывает по среднему значению от 700 до 3500 сегментов/сек, в основном держится около 1000, правда с сервером сейчас работают 10-20 клиентов, но не много ли сегментов/сек?

roader · 24.11.2009

что тебе не понятно из того что я написал?

вообщем, поставь ещё тулов с десяток, помониторь, а как поднадоест ганяться за призраками загляни таки в логи...

Marsikus · 24.11.2009

Логи чего именно: системы, IIS, SQL? Ни в тех ни в других, ни в третьих не наблюдается какого-нибудь подозрительного постоянно повторяющегося события.

roader · 24.11.2009

а как насчёт Event ID: 2025?

Marsikus · 25.11.2009

Cобытия 2025 там не встречается ни одного раза.

roader · 25.11.2009

вообщем вот что я думаю и пытаюсь уже в который раз сказать

Marsikus сказав(ла):
наблюдается нестабильная скорость доступа к сайту на IIS.

потому что сетевая нагрузка большая

Marsikus сказав(ла):
сервер вообще перестал отвечать

потому что число подключений достигло предельного значения и серв решил примерно так:

The server has detected an attempted Denial-Of-Service attack from client \\computer_name, and has disconnected the connection

Marsikus сказав(ла):
Сканировал cureit-ом - ничего

может имеет смысл просканить клиентские машины, которые работают с сервером на наличие флуда, брутфорса в сеть?

ну если в логах ничего нет, то тогда я конешно ошибаюсь..

gameover · 25.11.2009

а cure it'ом гонял в безопасном режиме?

Marsikus · 25.11.2009

roader сказав(ла):
может имеет смысл просканить клиентские машины, которые работают с сервером на наличие флуда, брутфорса в сеть?

А чем это проверить централизованно, со стороны сервера?

gameover сказав(ла):
а cure it'ом гонял в безопасном режиме?

В безопасном - нет, тогда нужно будет в неудобное помещение тащить к серверу монитор, залазить в серверный ящик, подключать его, сервер останавливать на время и т.д, ох не хочется...

roader · 25.11.2009

Marsikus сказав(ла):
А чем это проверить централизованно, со стороны сервера?

Marsikus сказав(ла):
тогда нужно будет в неудобное помещение тащить к серверу монитор, залазить в серверный ящик, подключать его, сервер останавливать на время и т.д, ох не хочется...

давай без обид, но ты для себя реши что тебе больше лень, жопу со стула подымать или думать

Marsikus сказав(ла):
В безопасном - нет

в безопасный режим можно попасть и удалённо...

Marsikus · 25.11.2009

Та можно много чего сделать, но вот останавливать сервер крайне не хочется: сейчас студенты после карантина как потерпевшие с утра до вечера в библиотеке по всем ее залам сидят, все клиентские машины пашут по серверу как трактора в поле. Уффф, наверно придется в субботу выйти обслужить сервер.

roader · 25.11.2009

ну с таким настроем можно и вообще без выходных работать, только вредно это
1. куриет в безопасном тебе ничего не даст(в данной ситуации)
2. берёшь VMware Converter, делаешь из сервера виртуалку, ставиш на шустренький комп VMware workstation, прописеваешь в днс.. и колупаешься со своим сервером сколько влезет никому не мешая, но на самом деле я думаю что это тебе не нужно, ну разве что субботу сэкономить..

а вообще распиши железяку и возложенные на неё задачи, может он просто физически не способен работать шустрее при такой нагрузке
ну а по поводу отруба сети напрочь я тебе уже не раз говорил где искать

без конкретной информации больше ничего сказать не могу

BFG-9000 · 25.11.2009

Э-э-э... а только я увидел, что собсно все соединения на скриншоте касаются самого сервака и стоящего на нем сиквела? Есть мнение о проблемах с БД.

roader · 26.11.2009

на скриншоте видно лишь сотую часть всего
ну даже если предположить что всё остальное такое же, то скажи тогда что гасит сеть

BFG-9000 · 26.11.2009

roader сказав(ла):
на скриншоте видно лишь сотую часть всего
ну даже если предположить что всё остальное такое же, то скажи тогда что гасит сеть

А где написано, что гасится сеть? Написано, что ИИС не отвечает - ну дык оно и понятно, что когда отрабатывает скрипт в котором обращение к БД и обращение к БД подвисает - оно и не отвечает, ждет-с...

roader · 26.11.2009

здесь

Marsikus сказав(ла):
на какое-то время сервер вообще перестал отвечать по сети на попытки подключиться к IIS, ftp, RDP.

DaemonDZK · 26.11.2009

Там сеть и близко не валялась. Та софтина что стучиться на sql серв валит все.

roader · 26.11.2009

ну так мы можем долго убеждать друг-друга в своей правоте..
посмотрим какое решение будет у ТСа, а там видно будет

DaemonDZK · 26.11.2009

А еще вернее уязвимая софтина, которую нагнули, а теперь нагибают серв