Sto cercando alcuni esempi di file di registro per attacchi DoS o DDoS che mostrano un allagamento SYN o un alluvione HTTP / livello 7. Ho avuto un google, ma non riesco a trovare nulla.
Le dimensioni del pacchetto in arrivo differirebbero tra un SYN Flood e un Layer 7 Flood?
Tutti i pacchetti rifiutati hanno la stessa porta sorgente nonostante abbiano diversi indirizzi di origine (IP)?
Posso quasi tranquillamente dire che non penso che il traffico sembrerà diverso dal traffico normale. Ci sarà un volume più alto di traffico, ma in termini di come sarebbe, sembrerà lo stesso.
Ovviamente se si tratta di un DDoS il traffico arriverà da indirizzi IP di origine diversi, il che significa che sarà piuttosto difficile distinguere tra le richieste reali e quelle false, specialmente se si dispone di MOLTO traffico REAL passando attraverso il firewall. Inoltre, il problema che dovrai affrontare è il fatto che in un allagamento SYN hai intenzionalmente mantenuto aperta la connessione ...
Ti suggerisco di leggere questo - link
Mostra alcuni metodi per fermare tali attacchi ma alla fine della giornata il traffico sembrerà lo stesso. Immagino che se vedi sessioni che sono state aperte per un tempo generalmente elevato che indicherebbe, ma ancora una volta se si tratta di un firewall occupato, dovresti aspettarti che tali connessioni siano effettivamente legittime.
Leggi altre domande sui tag http tcp denial-of-service ddos flooding