2011年11月03日 (木) [長年日記]
_ 検知せず
外へのアクセスが何か遅くなったので,もしかしてとサーバでnetstatを見たら,http接続の SYN_WAIT がびっしりだった.たぶんTCP SYN Floodingをうけていた.当初これを勘違いしていて,攻撃元を探すためにApacheのログを見ていたのだが,よく考えると通信はACK待ちで止まってるんだから,Apacheのログには残らないのかな? 不勉強であせりまくり.
んでとりあえずルータで止めちゃえと思ってルータの設定を見たら,ちゃんとルータでは不正侵入者検知を使っている.これTCP SYN Floodingもはじくんじゃなかったかなと思ったが,実際にSYN_WAITがたまる間のログ見ても検知していない.攻撃の間隔がゆるやか(1秒~)なので引っかからなかったのか? わからん.とりあえずめんどうになったので静的フィルタでIPアドレスブロックした.その後はログ取ってないから不明.とりあえず外へのアクセスは速くなった.静的フィルタだとそのうち回避されちゃうから,何か対策しておかないといかんなー.