Нападение TCP, невидимое для netstat

Сетевые Вычисления имеют статью о TCP SYN, Заполняющий Нападение и как обработать их.

У меня не было ответа, что вызывает это - но у меня есть вопросы разъяснить ситуацию. Вы не говорили, высока ли загрузка сервера? Если ответ - да - что вызывает эту загрузку - сверяются с главной командой. Можно ли попытаться выполнить tcpdump-ntuap? Кажется, что только опция-n недостаточно. Это выполняет какой-либо другой сервис как DNS, FTP? Ваша задержка ssh действительно ли возможно быть вызванной проблемой разрешения DNS или высокой загрузкой? Как Вы соединялись с сервером с ssh, если он разъединяется? Сервер имеет доступ к серверам DNS, если он разъединяется (никакое разрешение = медленное соединение SSH)? Можно ли проверить опцию апача "проверка активности" на и установить ли ее на от ниже интервала для нее.

Говоря, не входя в специфические особенности, комбинация признаков, которые Вы описали, предоставляет себя наиболее с готовностью диагнозу "руткита", поскольку было бы трудно (хотя едва невозможный) генерировать их любой другой путь.

Оказалось, что нападение использовало протокол, это не используется нашим сайтом, так заблокирован нашим граничным маршрутизатором. Поэтому, хотя это насыщало наш внешний канал, мало правомерного трафика к счастью провалилось в наши внутренние серверы.

Проверьте скорость передачи пакетов в интерфейсах с:

netstat -bdh 1

Проверьте то, с чем делает система:

systat -v 1

Проверьте некоторые bsd-пределы с: (ОГРАНИЧИВАТЬ/ИСПОЛЬЗОВАТЬ)

vmstat -z

PS. Вы используете апача? Проверьте, что это - статистика

PPS. Попытайтесь поместить nginx перед ним.

PPPS. Вы используете accf_http модуль ядра?