Webサーバーの port80へ大量の SYN_RCVD パケットが到着

最近、私のサーバーの HTTP ポートへ大量のパケットが到着していることがわかりました。
これが利用者からのパケットなら何も問題ないのですが、ファイヤーウォールのログには到着パケットとして記録されているものの、Webページへのアクセスログとしては一切記録されていないパケットです。

別の言い方をすると、Webサーバーへのアクセスがあるものの、Webサーバーのログには残っていないという不思議なパケットです。

これが約10個のネットワークから大量に到着しています。
以下が、そのサンプル。

Oct  8 19:32:28 Accept TCP 104.27.163.111:59759 114.129.xx.xx:80 in via tun0
Oct  8 19:32:28 Accept TCP 104.27.163.111:34607 114.129.xx.xx:80 in via tun0
Oct  8 19:32:28 Accept TCP 104.27.163.111:49206 114.129.xx.xx:80 in via tun0
Oct  8 19:32:29 Accept TCP 104.27.163.111:52665 114.129.xx.xx:80 in via tun0
Oct  8 19:32:29 Accept TCP 104.27.163.111:35364 114.129.xx.xx:80 in via tun0
Oct  8 19:32:29 Accept TCP 104.27.163.111:54328 114.129.xx.xx:80 in via tun0
Oct  8 19:32:29 Accept TCP 104.27.163.111:63101 114.129.xx.xx:80 in via tun0
Oct  8 19:32:30 Accept TCP 104.27.163.111:37614 114.129.xx.xx:80 in via tun0
Oct  8 19:32:30 Accept TCP 104.27.163.111:5086 114.129.xx.xx:80 in via tun0
Oct  8 19:32:30 Accept TCP 104.27.163.111:45055 114.129.xx.xx:80 in via tun0
Oct  8 19:32:30 Accept TCP 104.27.163.111:12850 114.129.xx.xx:80 in via tun0
Oct  8 19:32:31 Accept TCP 104.27.163.111:31500 114.129.xx.xx:80 in via tun0
Oct  8 19:32:31 Accept TCP 104.27.163.111:20861 114.129.xx.xx:80 in via tun0
Oct  8 19:32:31 Accept TCP 104.27.163.111:47638 114.129.xx.xx:80 in via tun0
Oct  8 19:32:31 Accept TCP 104.27.163.111:31097 114.129.xx.xx:80 in via tun0
Oct  8 19:32:32 Accept TCP 104.27.163.111:16814 114.129.xx.xx:80 in via tun0
Oct  8 19:32:32 Accept TCP 104.27.163.111:40591 114.129.xx.xx:80 in via tun0
Oct  8 19:32:32 Accept TCP 104.27.163.111:40535 114.129.xx.xx:80 in via tun0
Oct  8 19:32:32 Accept TCP 104.27.163.111:14619 114.129.xx.xx:80 in via tun0
Oct  8 19:32:33 Accept TCP 104.27.163.111:33635 114.129.xx.xx:80 in via tun0
Oct  8 19:32:33 Accept TCP 104.27.163.111:27259 114.129.xx.xx:80 in via tun0
Oct  8 19:32:33 Accept TCP 104.27.163.111:30103 114.129.xx.xx:80 in via tun0
Oct  8 19:32:34 Accept TCP 104.27.163.111:57036 114.129.xx.xx:80 in via tun0
Oct  8 19:32:34 Accept TCP 104.27.163.111:29766 114.129.xx.xx:80 in via tun0
Oct  8 19:32:34 Accept TCP 104.27.163.111:61590 114.129.xx.xx:80 in via tun0
Oct  8 19:32:35 Accept TCP 104.27.163.111:29706 114.129.xx.xx:80 in via tun0
Oct  8 19:32:35 Accept TCP 104.27.163.111:27066 114.129.xx.xx:80 in via tun0
Oct  8 19:32:35 Accept TCP 104.27.163.111:59712 114.129.xx.xx:80 in via tun0
Oct  8 19:32:36 Accept TCP 104.27.163.111:55580 114.129.xx.xx:80 in via tun0
Oct  8 19:32:36 Accept TCP 104.27.163.111:2269 114.129.xx.xx:80 in via tun0
Oct  8 19:32:36 Accept TCP 104.27.163.111:35090 114.129.xx.xx:80 in via tun0
Oct  8 19:32:37 Accept TCP 104.27.163.111:30352 114.129.xx.xx:80 in via tun0
Oct  8 19:32:37 Accept TCP 104.27.163.111:14798 114.129.xx.xx:80 in via tun0
Oct  8 19:32:37 Accept TCP 104.27.163.111:64472 114.129.xx.xx:80 in via tun0

netstat による TCPのステータスは、大量の

104.27.163.111.60693 SYN_RCVD

が表示されているので、SYN flood 攻撃?

最新OSなら、単純な SYN flood攻撃対策はしてあるので稼働状況に影響はないものの、ログがダーティーになるのですごく嫌です。

今どきこんな嫌がらせパケットを送って、ダメージを受けるサーバーあるの?それとも、別のセキュリティーホールでもあるのかな?

コメントを残す