Ola, Note uma atividade usual no tráfego de um servidor debian e notei uma quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat -nt, como as listadas abaixo
tcp6 0 0 1__.1_.239.245:80 186.65.106.83:16607 SYN_RECV tcp6 0 0 1__.1_.239.245:80 186.65.106.224:3531 SYN_RECV tcp6 0 0 1__.1_.239.245:80 186.65.107.82:29048 SYN_RECV tcp6 0 0 1__.1_.239.245:443 186.65.106.199:32652 SYN_RECV tcp6 0 0 1__.1_.239.245:80 186.65.106.7:58189 SYN_RECV Fui verificar outros servidores, e eles também estão assim, os mesmos ips. Que tipo de ataque e esse, e perigoso? Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for maior que 5 , dropa todo o /24. -- Paulino Kenji Sato
