ゆいどっと

_ 検知せず

外へのアクセスが何か遅くなったので，もしかしてとサーバでnetstatを見たら，http接続の SYN_WAIT がびっしりだった．たぶんTCP SYN Floodingをうけていた．当初これを勘違いしていて，攻撃元を探すためにApacheのログを見ていたのだが，よく考えると通信はACK待ちで止まってるんだから，Apacheのログには残らないのかな？ 不勉強であせりまくり．

んでとりあえずルータで止めちゃえと思ってルータの設定を見たら，ちゃんとルータでは不正侵入者検知を使っている．これTCP SYN Floodingもはじくんじゃなかったかなと思ったが，実際にSYN_WAITがたまる間のログ見ても検知していない．攻撃の間隔がゆるやか（１秒～）なので引っかからなかったのか？ わからん．とりあえずめんどうになったので静的フィルタでIPアドレスブロックした．その後はログ取ってないから不明．とりあえず外へのアクセスは速くなった．静的フィルタだとそのうち回避されちゃうから，何か対策しておかないといかんなー．