Nos últimos dias, temos enfrentado um possível ataque DOS de inundação de sincronização. Este ataque acontece duas vezes por dia (tarde e noite), um IP aleatório em nossa rede fica ativo (mesmo que o sistema ao qual o ip está atribuído esteja inativo/desligado) e envia milhares de pacotes por segundo. Cada vez que é um novo IP e ao verificar os sistemas aos quais os IP's foram atribuídos, não encontramos vestígios de qualquer atividade, em alguns casos os logs do sistema mostraram que o sistema estava desligado quando o ataque aconteceu. O antivírus também não detectou muita coisa nesses sistemas. nmap e ping para esses IPs também não funcionam quando o ataque está acontecendo ativamente. Encontramos detalhes desses ataques por meio do relatório de pesquisa na web do nosso firewall, vimos IPs enviando milhões de acessos em poucas horas para alguns dos sites, consumindo cerca de 100 GB por vez (Nota: apenas um IP faz o ataque em um determinado momento ). Atualmente estamos bloqueando esses IP's um por um após cada ataque, o que não é viável. o que leva à pergunta. Respostas e sugestões seriam muito apreciadas. Como podemos detectar esses ataques desde o início? Como podemos parar esses ataques? Que medidas preventivas podemos tomar para garantir que isso não ocorra no futuro? imagem de referência: -fluxo de pacotes de ataque ao vivo dos
