Parece que actualmente estoy bajo un ataque de DOS o algo así, he estado monitoreando el tráfico en el servidor usando jnettop, esto es lo que veo en condiciones normales:
https://i.stack.imgur.com/5qZXp.jpg
y este es un ejemplo de cuándo ocurre el problema:
https://i.stack.imgur.com/4JjeX.jpg
Entonces mi pregunta es: ¿qué significa esa "IP" en el protocolo y también "0" en el puerto?
Reemplacé la ip de mi servidor con: 1.1.1.1 para hacerlo más legible. Por supuesto, esto es solo una entrada de la salida, en operación normal la lista tiene muchas más entradas, y cuando estoy bajo el ataque, también veo varias entradas con el mismo ENORME RX y 0 TX, por lo que la solución no es solo bloquear esa IP en el ejemplo.
Respuesta1
Podría ser que los atacantes estén usando algún protocolo exótico además de IP, que jnettop no reconoce.
Podrías intentar utilizar una herramienta de captura de red, con un filtro como not tcp and not udpy ver qué queda.