Tentatives de connexion sur le port 80 dans les journaux du routeur mais pas dans les journaux du serveur
J'ai un site Web Apache2 statique sur le port 80 sur un serveur Ubuntu connecté à mon LAN derrière un routeur. Le site Web fonctionne normalement.
Mes journaux de routeur montrent des rafales de tentatives de connexion au port 80 comme celui-ci
[LAN access from remote] from 46.101.54.78:31560 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:30:16
[LAN access from remote] from 46.101.54.78:25586 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:29:51
[LAN access from remote] from 46.101.54.78:25216 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:38
[LAN access from remote] from 46.101.54.78:52677 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:13
[LAN access from remote] from 46.101.54.78:36812 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:27:00
[LAN access from remote] from 46.101.54.78:45750 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:36
[LAN access from remote] from 46.101.54.78:17352 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:11
Mais ces tentatives de connexion n'apparaissent ni dans l'erreur Apache2 ni dans les journaux d'accès.
Y a-t-il d'autres journaux qui pourraient montrer ce qui se passe ici?
Cela pourrait être une attaque SYN flood .
En bref, l'attaquant distant tente d'ouvrir autant de connexions TCP que possible, en essayant d'épuiser certaines ressources (mémoire, disque de log, ...).
La configuration par défaut d'Apache2 (testée le 16.04) n'enregistre pas une telle connexion sans données.
Votre boîte ubuntu doit être protégée contre ce type d'attaque, net.ipv4.tcp_syncookies semble être activé par défaut sur ubuntu, mais votre routeur peut être à risque.