Ola,
Note uma atividade usual no tráfego de um servidor debian e notei uma quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat -nt, como as listadas abaixo
Fui verificar outros servidores, e eles também estão assim, os mesmos ips.
Que tipo de ataque e esse, e perigoso?
Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for maior que 5 , dropa todo o /24.
-- Paulino Kenji Sato