Humm... tem algo bem estranho aí. tcp6? Deveria estar sobre IPv6. E aí está mostrando IPv4.
Você roda algum tipo de NAT de IPv6 pra IPv4? Pode ser algum problema aí. Você pode tentar mitigar diminuindo os tempos de timeout pra TCP usando sysctl. Acho que é só mudar "net.netfilter.nf_conntrack_tcp_timeout_syn_recv" pra algum valor mais baixo. Talvez 3s. Best Regards, Helio Loureiro https://helio.loureiro.eng.br https://github.com/helioloureiro https://mastodon.social/@helioloureiro On Thu, 14 Mar 2024 at 20:42, Paulino Kenji Sato <pks...@gmail.com> wrote: > Ola, > Note uma atividade usual no tráfego de um servidor debian e notei uma > quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat > -nt, como as listadas abaixo > > tcp6 0 0 1__.1_.239.245:80 186.65.106.83:16607 > SYN_RECV > tcp6 0 0 1__.1_.239.245:80 186.65.106.224:3531 > SYN_RECV > tcp6 0 0 1__.1_.239.245:80 186.65.107.82:29048 > SYN_RECV > tcp6 0 0 1__.1_.239.245:443 186.65.106.199:32652 > SYN_RECV > tcp6 0 0 1__.1_.239.245:80 186.65.106.7:58189 > SYN_RECV > > Fui verificar outros servidores, e eles também estão assim, os mesmos ips. > Que tipo de ataque e esse, e perigoso? > Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for > maior que 5 , dropa todo o /24. > > > > -- > Paulino Kenji Sato >
