¿Se trata de una inundación SYN falsificada?
A primera vista, esto puede parecer un ataque. Un atacante puede iniciar una Inundación SYN sin usar su dirección IP real. Un atacante elabora un paquete con una IP de origen de una IP conocida como la de un servidor dns de agujero negro. Su servidor puede agotar los recursos al intentar responder con un paquete SYN-ACK.
Cómo puedo saber
Si su servidor responde con un paquete SYN-ACK, entonces es probable que el paquete original sea falsificado si el servidor no responde con un paquete ACK final.
¿Por qué veo tráfico TCP para DNS?
Por RFC6305
Una solicitud enviada a uno de estos servidores dará como resultado que se devuelva una respuesta al cliente. La respuesta normalmente será un datagrama UDP, aunque es perfectamente válida para que las solicitudes se realicen a través de TCP. En ambos casos, el puerto de origen de los paquetes que regresan al sitio que originó la solicitud de DNS será 53.
Explicaciones proporcionadas por RFC6305
La Sección 6 de RFC6305 proporciona más explicaciones de por qué puede ver este tráfico.
-
Tráfico entrante de servidores AS112
Donde se encuentran los firewalls o los sistemas de detección de intrusos (IDS)
configurado para bloquear el tráfico recibido de los servidores AS112,
La revisión superficial del tráfico puede parecer alarmante para el sitio
administradores.
Dado que las solicitudes dirigidas en última instancia a los servidores AS112 suelen ser
activada automáticamente por las aplicaciones, revisión de los registros del cortafuegos
puede indicar un gran número de infracciones de políticas que se producen en un
Período de tiempo extendido.
Cuando las respuestas de los servidores AS112 están bloqueadas por firewalls, hosts
a menudo volverá a intentar, a menudo con una frecuencia relativamente alta. Esta
puede causar que el tráfico entrante se clasifique erróneamente como una denegación de
Ataque de servicio (DoS). En algunos casos, los puertos de origen utilizados por
Hosts individuales para sucesivos reintentos aumentan en un predecible
moda (por ejemplo, monótonamente), que puede causar las respuestas de la
El servidor AS112 para parecerse a un escaneo de puertos.
Un administrador del sitio puede intentar realizar una medición activa de
el host remoto en respuesta a las alarmas generadas por el tráfico entrante,
p.ej. iniciar un escaneo de puerto para recopilar información sobre
El host que aparentemente está atacando el sitio. Tal escaneo
Por lo general, resulta en un tráfico entrante adicional al sitio
realizar la medición, por ejemplo, una inundación aparente de ICMP
Mensajes que pueden activar alarmas de cortafuegos adicionales y ofuscar
el proceso de identificación del tráfico originalmente problemático.