依然としてDoS攻撃が続いている

サーバーが詰まってしまった状態でsocket状態を見ると、目を疑いたくなるような表示内容が

tcp 1 0 rainbowseeker.jp:http 192.168.1.100:cecsvc CLOSE_WAIT
tcp 1 0 rainbowseeker.jp:http 192.168.1.100:mon CLOSE_WAIT
tcp 1 0 rainbowseeker.jp:http 192.168.1.100:scipticslsrvr CLOSE_WAIT
tcp 1 0 rainbowseeker.jp:http 192.168.1.100:masc CLOSE_WAIT
tcp 1 0 rainbowseeker.jp:http 192.168.1.100:sns-query CLOSE_WAIT
tcp 1 0 rainbowseeker.jp:http 192.168.1.100:blwnkl-port CLOSE_WAIT


192.168.1.100は宅内の無線LANブリッジなのだが、そこが発信元になってサーバーへ数え切れないほど接続しに来るわけがない

明らかにsource ip addressを192.168.1.100として偽った外部からのsyn flood attackの仕業である。

今のところインターネットの中継ノードでこの種のパケットを破棄しない限りローカルで防ぐのは難しい。

インターネット内でこの種のローカルアドレスをsourceおよびdestinationとするip packetが通過すること自体があり得ないので、その時点でフィルタリングしても良さそうだけど。