Da più di una settimana, il mio server dedicato (che si trova su ovh.com) è stato sotto attacco TCP SYN (credo). OVH non se ne preoccupa, ma questo attacco sta uccidendo il mio server con un carico elevato della CPU (permanente al 100% nei momenti migliori).
Ho la possibilità di aggiungere un Cisco ASA 5505 sul mio host e vorrei sapere se posso davvero bloccare questo attacco con esso. Qualcuno ha esperienza con questo firewall?
Se ho analizzato correttamente il log, ho qualcosa come 550 IP diversi che inviano pacchetti TCP SYN (18320 pacchetti in totale) al minuto su due porte. (Non posso cambiare queste porte, e se lo faccio, l'attaccante cambia istantaneamente anche il suo attacco).
Nei momenti di punta, ho calcolato oltre 2.000 diversi IP (36640 pacchetti) al minuto facendo esattamente la stessa cosa.
Fanno anche GET attacchi sul mio sito, può questo Cisco ASA 5505 fare qualcosa per questo?
Inoltre, vorrei sapere come posso "calcolare" i Mbps / Gbps da un attacco.
Ho testato quasi tutti, bloccato tutti gli IP, cambiato l'IP del server, cambiato edport, persino la protezione DDoS del proxy remoto, ma senza successo.
Ho registrato questo registro con WireShark (può essere aperto con il blocco note) per oltre un minuto con traffico "legit" 0, quindi tutto questo traffico è l'attacco. Qui è il registro.