Servidor sofrendo algum tipo de syn ataque.

[Paulino Kenji Sato <pksato@gmail.com>]

Ola,

Note uma atividade usual no tráfego de um servidor debian e notei uma quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat -nt, como as listadas abaixo

tcp6       0      0 1__.1_.239.245:80       186.65.106.83:16607     SYN_RECV  
tcp6       0      0 1__.1_.239.245:80       186.65.106.224:3531     SYN_RECV  
tcp6       0      0 1__.1_.239.245:80       186.65.107.82:29048     SYN_RECV  
tcp6       0      0 1__.1_.239.245:443      186.65.106.199:32652    SYN_RECV  
tcp6       0      0 1__.1_.239.245:80       186.65.106.7:58189      SYN_RECV   

Fui verificar outros servidores, e eles também estão assim, os mesmos ips.

Que tipo de ataque e esse, e perigoso?

Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for maior que 5 , dropa todo o /24.

--

Paulino Kenji Sato