Estou tendo problemas com o servidor e percebi que estou sob algum tipo de ataque DDOS, bloqueei os IPs no Firewall, mas os IPs aparecem no netstat.
Isso é normal?
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:39159 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:40090 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:40219 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:42108 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:43430 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:44562 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:46282 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:46642 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:49739 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:50050 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:50644 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:51843 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:52098 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:53080 FIN_WAIT1
tcp 0 1 10.1.1.59:80 DDOS.IP.HERE:54026 FIN_WAIT1
Responder1
Se o seu firewall estiver funcionando definitivamente, tente eliminar essas conexões e veja se elas voltam. Reinicie o daemon ao qual eles estão conectados, reinicie ou confira esta discussão:
http://www.linuxquestions.org/questions/linux-security-4/is-there-a-way-to-drop-connections-415843/