Сервер остался без защиты и на него сейчас идет DDoS атака:
Канал 100 мбит/с, диспетчер показывает что сеть загружена на 76%, при этом доступа к серверу нет по удаленке и пинг идет таким образом:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от х.х.х: число байт=32 время=20мс TTL=120
Ответ от х.х.х: число байт=32 время=20мс TTL=120
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от х.х.х: число байт=32 время=22мс TTL=120
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от х.х.х: число байт=32 время=21мс TTL=120
Превышен интервал ожидания для запроса.

На сервер удалось зайти с помощью IPCVM (удаленное ява управление, с помощью другого сервера по локалке, как я понял).
Все перепробовали, никаких лишних подключений нет, процессов нет, однако SAS диск используется на 100% и страшные тормоза самой машины соответственно. Диск использует файл wfpdiag.etl, попытался его найти (он был в систем32), оказывается он весит 0 байт и соответственно удалению не поддается, т.к. используется. Анлокер на сервере не стоит и доступа к интернету оттуда нет.
Просто не понимаем, что творится и что делать, посоветуйте что нибудь, уже все перепробовали...
Win server 2008

держали с человеком на нормальном железе сервер мморпг.

При ддосе на открытии винда ушла в бсод, данные с 4х запущенных серверов + баз мускула безвозвратно канули в пустоту. Просто побились файлы. От 2х серверов были бэкапы. От 2х нет. Восстановить не смогли, две недели людям восстанавливали вещи.


Факт: если на сервере используются бд мускула и стоит винда - либо резервное копирование раз минут в 15, либо переезд на линухи.


В вашей ситуации : на роутере оторвите инет у сервера. По локалке посмотрите будет ли такое бешеное использование этого файла. Если да то проблема не в ддосе.

Если нормальный хостинг то...
1) Канал не 100Мбит, а 1Гбит и более... пофильтровали - жизнь прекрасна.
2) Есть всякие там Cisco Guard'ы, и можно поблочить зловред на пограничном маршрутизаторе
3) У них есть различные IPS/IDS решения, и за умеренную плату можно получить хороший анализатор трафика и автоматическую блокировку зловреда. Либо настроить все самим.
4) Хетзнер это не нормальный хостинг

Если у вас хорошо настроена инфраструктура, то
1) То вы знаете что такое рецепт для Chef/puppet/vargant/open stack
2) У вас есть хорошие средства мониторинга нагрузки
3) Вы можете использовать горизонтальное масштабирование на несколько серверов
4) У вас не используется MySQL
5) У вас используется PgSQL / MsSQL / Oracle, с промежуточным кэшем в виде memcached etc, реплекацией и масштабированием
6) Вы можете без проблем увеличивать/уменьшать количество машин на БД и серваки для обработки клиентских запросов в зависимости от ваших потребностей (желательно это делать автоматом).

Я думаю что это банальный SYN или UDP флуд, хотя возможно какой-то Amplification.

Нет проблем с поддержкой steam-based серверов, L2, aion, wow... могу посодействовать за умеренную плату.

По поводу форточки/не форточки... linux/BSD сервера однозначно лучше по ряду многих причин.
Советую слезть на linux и PgSQL с PgPool, завести анализатор на Suricata и пофильтровать зловред...

Добавлено спустя 7 минут 32 секунды:
P.S
wfpdiag.etl это файлик с Win Filtering Platform Diagnostics Information. Точнее это пайп.
Т.е. это не обычный файл, а его запись/чтение является интерфейсом к диагностике фаервола, и статистике пакетов.
Так что он априори будет весить 0Кб. И это ещё раз подтверждает мое мнение о предполагаемом Syn/Udp флуде.

По поводу бэкапить MySQL раз в 15 мин. ИДЕЯ УЖАСНАЯ, master-master репликация нужна... и данные будут постоянно в актуальном состоянии, и дисковая система не будет умирать раз в 15 мин =)
Запросы к БД будут уходить сразу на 2 сервера - один отрубится, другой подхватит.

По поводу snapshot'инга БД, для этого есть отдельный плагин к мускулям.
Но в принципе это тоже master-master репликация, но только WAL и RAL журналов.