Parece que estou sob um ataque de DOS ou algo parecido, tenho monitorado o tráfego no servidor usando jnettop, isto é o que vejo em condições normais:
https://i.stack.imgur.com/5qZXp.jpg
e este é um exemplo de quando o problema está acontecendo:
https://i.stack.imgur.com/4JjeX.jpg
Então minha pergunta é: o que significa aquele "IP" no protocolo e também "0" na porta????
Troquei o ip do meu servidor por: 1.1.1.1 para torná-lo mais legível. Claro que isso é apenas uma entrada da saída, na operação nomral a lista tem muito mais entradas, e quando estou sob ataque, também vejo várias entradas com o mesmo HUGE RX e 0 TX, então a solução não é apenas bloquear esse IP no exemplo.
Responder1
Pode ser que os invasores estejam usando algum protocolo exótico além do IP, que o jnettop não reconhece.
Você poderia tentar usar uma ferramenta de captura de rede, com um filtro como not tcp and not udp, e ver o que resta.