Humm... tem algo bem estranho aí.
tcp6? Deveria estar sobre IPv6. E aí está mostrando IPv4.
Você roda algum tipo de NAT de IPv6 pra IPv4? Pode ser algum problema aí.
Você pode tentar mitigar diminuindo os tempos de timeout pra TCP usando sysctl. Acho que é só mudar "net.netfilter.nf_conntrack_tcp_timeout_syn_recv"
pra algum valor mais baixo. Talvez 3s.
Best Regards,
Helio Loureiro
https://helio.loureiro.eng.br
https://github.com/helioloureiro
https://mastodon.social/@helioloureiro
On Thu, 14 Mar 2024 at 20:42, Paulino Kenji Sato <
pksato@gmail.com> wrote:
Ola,
Note uma atividade usual no tráfego de um servidor debian e notei uma quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat
-nt, como as listadas abaixo
tcp6 0 0 1__.1_.239.245:80 186.65.106.83:16607
SYN_RECV
tcp6 0 0 1__.1_.239.245:80 186.65.106.224:3531
SYN_RECV
tcp6 0 0 1__.1_.239.245:80 186.65.107.82:29048
SYN_RECV
tcp6 0 0 1__.1_.239.245:443 186.65.106.199:32652
SYN_RECV
tcp6 0 0 1__.1_.239.245:80 186.65.106.7:58189
SYN_RECV
Fui verificar outros servidores, e eles também estão assim, os mesmos ips. Que tipo de ataque e esse, e perigoso?
Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for maior que 5 , dropa todo o /24.
--
Paulino Kenji Sato
<div dir="ltr"><div>Humm... tem algo bem estranho aí.</div><div><br></div><div>tcp6? Deveria estar sobre IPv6. E aí está mostrando IPv4.</div><div><br></div><div>Você roda algum tipo de NAT de IPv6 pra IPv4? Pode ser algum problema aí.</div><
<br></div><div>Você pode tentar mitigar diminuindo os tempos de timeout pra TCP usando sysctl. Acho que é só mudar<span style="font-family:monospace"> "</span><code class="gmail-console">net.netfilter.nf_conntrack_tcp_timeout_syn_recv"
<span style="font-family:arial,sans-serif">pra algum valor mais baixo. Talvez 3s.<br></span></code></div><div><br></div><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Best Regards,<br>Helio Loureiro<br><
<a href="https://helio.loureiro.eng.br/" target="_blank">https://helio.loureiro.eng.br</a></div><div><a href="https://github.com/helioloureiro" target="_blank">https://github.com/helioloureiro</a></div><div><a href="https://mastodon.social/@
helioloureiro" target="_blank">
https://mastodon.social/@helioloureiro</a><br></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 14 Mar 2024 at 20:42, Paulino Kenji Sato <<a href="mailto:
pksato@gmail.com">
pksato@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Ola,</div><div>Note uma atividade usual no tráfego
de um servidor debian e notei uma quantidade enorme de conexões em SYN_RECV mostrado pelo comando netstat -nt, como as listadas abaixo</div><br clear="all"><div>tcp6 0 0 1__.1_.239.245:80 <a href="
http://186.65.106.83:16607"
target="_blank">186.65.106.83:16607</a> SYN_RECV <br>tcp6 0 0 1__.1_.239.245:80 <a href="
http://186.65.106.224:3531" target="_blank">186.65.106.224:3531</a> SYN_RECV <br>tcp6 0 0 1__.1_.239.245:
80 <a href="
http://186.65.107.82:29048" target="_blank">186.65.107.82:29048</a> SYN_RECV <br>tcp6 0 0 1__.1_.239.245:443 <a href="
http://186.65.106.199:32652" target="_blank">186.65.106.199:32652</a> SYN_
RECV <br>tcp6 0 0 1__.1_.239.245:80 <a href="
http://186.65.106.7:58189" target="_blank">186.65.106.7:58189</a> SYN_RECV <br></div><div><br></div><div>Fui verificar outros servidores, e eles também estão assim,
os mesmos ips.</div><div>Que tipo de ataque e esse, e perigoso?</div><div>Para mitigar, fiz um script e que se a contagem desses SYN_RECV por ip for maior que 5 , dropa todo o /24.</div><div><br></div><div><br></div><div><br></div><span class="gmail_
signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature">Paulino Kenji Sato<br></div></div>
</blockquote></div>
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)