В последние несколько дней мы столкнулись с возможной атакой Syn Flooding DOS. Эта атака происходит дважды в день (днем и ночью), один случайный IP в нашей сети становится активным (хотя система, которой назначен IP, неактивна/отключена) и отправляет тысячи пакетов в секунду. Каждый раз это новый IP, и при проверке систем, которым были назначены IP, мы не находим никаких следов какой-либо активности, в некоторых случаях системные журналы показывали, что система была выключена, когда произошла эта атака. Антивирус также не обнаружил многого в этих системах. Nmap и ping на эти IP также не работают, когда атака активно происходит. Мы нашли подробности этих атак с помощью отчета веб-поиска нашего брандмауэра, мы увидели, что IP отправили миллионы обращений в течение часов на некоторые веб-сайты, потребляя около 100 ГБ за раз (обратите внимание: только один IP выполняет атаку в определенное время). В настоящее время мы блокируем эти IP по одному после каждой атаки, что невыполнимо. что приводит к вопросу. Ответы на которые и предложения были бы весьма признательны. Как мы можем обнаружить эти атаки на ранней стадии? Как мы можем остановить эти атаки? Какие превентивные меры мы можем предпринять, чтобы убедиться, что это не произойдет в будущем? Справочное изображение:-поток пакетов атаки DOS в реальном времени
