Re: Servidor sofrendo algum tipo de syn ataque.

[Helio Loureiro <helio@loureiro.eng.br>]

Humm... tem algo bem estranho aí.

tcp6?   Deveria estar sobre IPv6.  E aí está mostrando IPv4.

Você roda algum tipo de NAT de IPv6 pra IPv4?  Pode ser algum problema aí.

Você pode tentar mitigar diminuindo os tempos de timeout pra TCP usando sysctl.  Acho que é só mudar "net.netfilter.nf_conntrack_tcp_timeout_syn_recv" pra algum valor mais baixo.  Talvez 3s.


Best Regards,
Helio Loureiro

https://helio.loureiro.eng.br

https://github.com/helioloureiro

https://mastodon.social/@helioloureiro

On Thu, 14 Mar 2024 at 20:42, Paulino Kenji Sato <pksato@gmail.com> wrote:

Ola,

Note uma atividade usual no tráfego de um servidor debian e notei uma quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat -nt, como as listadas abaixo

tcp6       0      0 1__.1_.239.245:80       186.65.106.83:16607     SYN_RECV  
tcp6       0      0 1__.1_.239.245:80       186.65.106.224:3531     SYN_RECV  
tcp6       0      0 1__.1_.239.245:80       186.65.107.82:29048     SYN_RECV  
tcp6       0      0 1__.1_.239.245:443      186.65.106.199:32652    SYN_RECV  
tcp6       0      0 1__.1_.239.245:80       186.65.106.7:58189      SYN_RECV   

Fui verificar outros servidores, e eles também estão assim, os mesmos ips.

Que tipo de ataque e esse, e perigoso?

Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for maior que 5 , dropa todo o /24.

--

Paulino Kenji Sato