En los últimos días nos hemos enfrentado a un posible ataque de DOS por inundación de sincronización. Este ataque ocurre dos veces al día (tarde y noche), una IP aleatoria en nuestra red se activa (aunque el sistema al que está asignada la IP esté inactivo/apagado) y envía miles de paquetes por segundo. Cada vez, es una nueva IP y al verificar los sistemas a los que se asignaron las IP, no encontramos rastros de actividad alguna; en algunos casos, los registros del sistema mostraron que el sistema estaba apagado cuando ocurrió este ataque. El antivirus tampoco detectó mucho en estos sistemas. nmap y ping a estas IP tampoco funcionan cuando el ataque está ocurriendo activamente. Encontramos detalles de estos ataques a través del informe de búsqueda web de nuestro firewall, vimos que las IP enviaron millones de visitas en cuestión de horas a algunos de los sitios web, consumiendo cerca de 100 GB a la vez (Nota: solo una IP realiza el ataque en un momento determinado ). Actualmente, estamos bloqueando estas IP una por una después de cada ataque, lo cual no es factible. lo que lleva a la pregunta. Se agradecerían mucho las respuestas y sugerencias. ¿Cómo podemos detectar estos ataques desde el principio? ¿Cómo podemos detener estos ataques? ¿Qué medidas preventivas podemos tomar para asegurarnos de que esto no ocurra en el futuro? imagen de referencia:-flujo de paquetes de ataque DOS en vivo
