Estoy buscando algunos ejemplos de archivos de registro para ataques DoS o DDoS que muestren un Flood SYN o un Flood HTTP / Layer 7. He tenido un google, pero parece que no puedo encontrar nada.
¿Los tamaños de los paquetes entrantes diferirán entre un Flood de SYN y un Flood de Capa 7?
¿Todos los paquetes rechazados tendrían el mismo puerto de origen a pesar de tener diferentes direcciones de origen (IP)?
Casi puedo decir con seguridad que no creo que el tráfico se vea diferente al tráfico normal. Habrá un mayor volumen de tráfico, pero en términos de cómo se vería, se verá igual.
Obviamente, si se trata de una DDoS, el tráfico provendrá de diferentes direcciones IP de origen, lo que significa que será bastante difícil distinguir entre solicitudes reales y falsas, especialmente si hay MUCHO tráfico REAL que pasa a través del firewall. Además, el problema al que se enfrentará es el hecho de que en una inundación SYN mantiene intencionalmente la conexión abierta ...
Le sugiero que lea esto: enlace
Muestra algunos métodos para detener tales ataques, pero al final del día el tráfico se verá igual. Supongo que si ves sesiones que han estado abiertas durante un período de tiempo generalmente largo que indicaría, pero nuevamente si es un firewall ocupado, deberías esperar que esas conexiones sean realmente legítimas.
Lea otras preguntas en las etiquetas denial-of-service http ddos tcp flooding