3月28日の夜中から3月30日の早朝にかけて発生してた SYN flood 攻撃に関する投稿をしたが、同時にツィートしたものをまとめておく。
RTX1200 の静穏な朝… pic.twitter.com/Lvzns08NDG
— BluesCreen (@BluesCreen66) March 31, 2014
@nack1965 仕事でもRTX1100でNAT構成のネットワークを面倒見てるのですが、金曜日から同様の現象で、そちらは帯域が使われてしまうのか、再接続していました。
パフォーマンスの良い機器だと気づかないのかもしれません。RTX1200で「遅くなった」気はしませんでした。— BluesCreen (@BluesCreen66) March 30, 2014
SYN flood攻撃。早朝に終わったようだ。RTX1200 に
show nat descriptor address detail
しても、それらしい接続は表示されない。 pic.twitter.com/2nhQCNsBq0— BluesCreen (@BluesCreen66) March 29, 2014
まだ攻撃続いてるみたいだけど、もう寝るzzz pic.twitter.com/KxsqXLb1rq
— BluesCreen (@BluesCreen66) March 29, 2014
RTX1200のNATのエントリー数が12,000くらいあるせいか?
show nat descriptor address detail
の結果表示が遅い。
CPUの負荷は
show environment
の結果、5%ほど。 pic.twitter.com/EfqEbvXxQW— BluesCreen (@BluesCreen66) March 29, 2014
攻撃におかげで RXT1200 にCPU利用率が100%に鳴った瞬間がある pic.twitter.com/Mnsb8zC7Lh
— BluesCreen (@BluesCreen66) March 29, 2014
あいかわらず、85.195.109.199と85.195.114.11からのSYN flood攻撃は続いており、RTX1200のNATエントリーは12,000くらいになってる pic.twitter.com/icvm2HAeVE
— BluesCreen (@BluesCreen66) March 29, 2014
SYN flood 攻撃 継続中!! pic.twitter.com/nKZ4CNU0eq
— BluesCreen (@BluesCreen66) March 29, 2014
RTX1200 へログインして
show nat descriptor address detail
してみたら、昨日と同じ 85.195.64.0/18 。CPUの負荷はほとんどないのだが… pic.twitter.com/om25vscQdc— BluesCreen (@BluesCreen66) March 28, 2014
昨日寝る前に終わったと思った SYN flood 攻撃。夜中に再開。
朝起きて RTX1200 の統計画面見てorz pic.twitter.com/8yB3ohNUIJ
— BluesCreen (@BluesCreen66) March 28, 2014
今日一日振り回された 85.195.64.0/18 からのSYN flood攻撃。終了したもよう。
RTX1200に show nat descriptor address detail してももうそのアドレスはない… pic.twitter.com/LNngKZwmur— BluesCreen (@BluesCreen66) March 28, 2014
85.195.64.0/18 からのSYN flood 攻撃。rejectするフィルタを先頭にかませて対応して、RTX1200のNATエントリー数はこんな感じ。
着信は未だに続いている。 pic.twitter.com/aWpLdgnnPq— BluesCreen (@BluesCreen66) March 28, 2014
やはり各所でSYN flood攻撃を受けているようだ。
— BluesCreen (@BluesCreen66) March 28, 2014
とりあえず、RTX1200 のフィルターで 85.195.64.0/18 をreject。
通信を希望される方はGMailとか他のネットワークから連絡ください。 pic.twitter.com/Ggcy2WJ3tk
— BluesCreen (@BluesCreen66) March 28, 2014
RTX1200 NATのエントリー数。また増えてるじゃんか〜〜 pic.twitter.com/DUUoIixlmt
— BluesCreen (@BluesCreen66) March 28, 2014
RTX1200 の動的フィルターセッション数。
85.195.114.11などからのSYN flood攻撃と思われるが、何とかならんものか… pic.twitter.com/tKouMmaYkV— BluesCreen (@BluesCreen66) March 28, 2014
だれか〜 85.195.109.199 とか 85.195.114.11 とかをとめてくれ〜〜
— BluesCreen (@BluesCreen66) March 28, 2014
SYN flood 攻撃を受け続けているが、NAT/IPMasqueradeを使ってサーバーを運用しているから、ルーターの負荷が高い…
— BluesCreen (@BluesCreen66) March 28, 2014
RTX1200の統計データを見ると、夜中から攻撃?されてるみたいだ。
80番ポートへ接続してくるからNATエントリー数が増える。
そして、今も続いている。 pic.twitter.com/YJDLEPDv7a— BluesCreen (@BluesCreen66) March 28, 2014
85.195.*.* から 80番ポートへの接続攻撃?のせいで、やらなくて良い仕事増えてる….
— BluesCreen (@BluesCreen66) March 28, 2014
85.195.109.* から攻撃を受けてる
— BluesCreen (@BluesCreen66) March 28, 2014