Я запускаю службу на заданном порту (скажем, 1234). Время от времени это недоступно. Когда я проверяю dmesg, я вижу:
TCP: возможна лавинная рассылка SYN на порт 1234. Отправка файлов cookie. Проверить счетчики SNMP
net.ipv4.tcp_max_syn_backlog имеет значение 1024
Когда я проверяю netstat, я вижу:
tcp 0 0 exampledomainname.com:5008 ip190-5-138-234.i: 56772 SYN_RECV
tcp 0 0 exampledomainname.com:5008 ip190-5-138-234.i: 56771 SYN_RECV
tcp 0 0 exampledomainname .com: 1234 216.218.222.14:18687 SYN_RECV
tcp 0 0 exampledomainname.com:1234 185.234.218.50:59848 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit.r2.apx.p: 45992 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit1.signal.:42747 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:29545 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:19883 SYN_RECV
tcp 0 0 exampledomainname.com:1234 5.188.86.30:53106 SYN_RECV
tcp 0 0 exampledomainname.com:1234 lh28409.voxility.:59899 SYN_RECV
tcp 0 0 exampledomainname .com: 1234 tor-exit1.signal.:40048 SYN_RECV
tcp 0 0 exampledomainname.com:1234 62.176.4.10:48546 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:52326 SYN_RECV
tcp 0 0 exampledomainname.com:1234 sunfire-cape.gate: 44592 SYN_RECV
tcp 0 0 exampledomainname.com:1234 sunfire-cape.gate: 44590 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chomsky.torserver: 45374 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:60156 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:47522 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit.r2.apx.p: 38568 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn .lu: 34309 SYN_RECV
tcp 0 0 exampledomainname.com:1234 185.100.86.128:35623 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit1.signal.:42921 ...
около 30 таких соединений SYN_RECV. Если мое предположение верно, то это довольно сложная бот-сеть, которая проходит через сеть Tor.
Что я могу сделать против такой атаки? Любая помощь будет высоко ценится.