Я переместил сайты, которые я размещаю, на новый компьютер и жду, пока весь трафик уйдет на старый, прежде чем отключать его. Хост - это Fedora 24, работающая на линоде. Итак, я замечаю, что сейчас в машину постоянно поступает только один IP-адрес, и я не знаю, на что я смотрю. На моем линодном графике я вижу устойчивый пинг трафика на графике "tcp6", поэтому я смотрю на netstat и вижу следующее:
# netstat -nt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 236 ..... <my SSH connection to the machine> ... ESTABLISHED
tcp6 0 0 45.79.130.46:80 113.212.156.53:80 SYN_RECV
Эти сообщения продолжают появляться, и в журналах apache нет журнала, поэтому похоже, что на моем сервере предпринимается какая-то попытка злоупотребления, но я не понимаю его природу.
Затем запустив tcpdump для номера 113, я вижу вот что:
tcpdump -nv -tttt -i eth0 -s 65535 port 80 and \( src 113.212.156.53 or dst 113.212.156.53 \)
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
2017-09-22 14:49:06.596326 IP (tos 0x0, ttl 53, id 171, offset 0, flags [none], proto TCP (6), length 40)
113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x48e6 (correct), seq 2832531456, win 0, length 0
2017-09-22 14:49:06.596425 IP (tos 0x0, ttl 64, id 32829, offset 0, flags [DF], proto TCP (6), length 40)
45.79.130.46.http > 113.212.156.53.http: Flags [.], cksum 0x4169 (correct), ack 1890582529, win 29200, length 0
2017-09-22 14:49:06.597206 IP (tos 0x0, ttl 53, id 200, offset 0, flags [none], proto TCP (6), length 40)
113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x8afc (correct), seq 1723793408, win 0, length 0
2017-09-22 14:49:08.737416 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44)
45.79.130.46.http > 113.212.156.53.http: Flags [S.], cksum 0xbda5 (incorrect -> 0x29ac), seq 2451913564, ack 1890582529, win 29200, options [mss 1460], length 0
2017-09-22 14:49:20.592584 IP (tos 0x0, ttl 53, id 69, offset 0, flags [none], proto TCP (6), length 40)
113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x986c (correct), seq 1498349568, win 0, length 0
2017-09-22 14:49:20.592689 IP (tos 0x0, ttl 64, id 36687, offset 0, flags [DF], proto TCP (6), length 40)
45.79.130.46.http > 113.212.156.53.http: Flags [.], cksum 0x4169 (correct), ack 1, win 29200, length 0
2017-09-22 14:49:20.592722 IP (tos 0x0, ttl 53, id 80, offset 0, flags [none], proto TCP (6), length 40)
113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x8e85 (correct), seq 1664483328, win 0, length 0
2017-09-22 14:49:35.705215 IP (tos 0x0, ttl 53, id 152, offset 0, flags [none], proto TCP (6), length 40)
113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0xddfc (correct), seq 331284480, win 0, length 0
2017-09-22 14:49:35.705303 IP (tos 0x0, ttl 64, id 37543, offset 0, flags [DF], proto TCP (6), length 40)
45.79.130.46.http > 113.212.156.53.http: Flags [.], cksum 0x4169 (correct), ack 1, win 29200, length 0
2017-09-22 14:49:35.753541 IP (tos 0x0, ttl 53, id 56, offset 0, flags [none], proto TCP (6), length 40)
113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x6838 (correct), seq 2307063808, win 0, length 0
Не знаю, нападение ли это какое-то. (РЕДАКТИРОВАТЬ: я думаю, что это попытка синхронного наводнения)
РЕДАКТИРОВАТЬ: на новом сервере их гораздо больше. Я изменил httpd для прослушивания на 0.0.0.0, так что соединения SYN_RECV перемещаются на «tcp», а не на «tcp6», и я пробую что-то в https://mithunkumr.wordpress.com/tag/syn-flood-attack/.