Eu tenho um site estático Apache2 na porta 80 em um servidor Ubuntu conectado à minha LAN por trás de um roteador. O site funciona normalmente.
Meus logs de roteador estão mostrando explosões de tentativas de conexão para a porta 80 como esta
[LAN access from remote] from 46.101.54.78:31560 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:30:16
[LAN access from remote] from 46.101.54.78:25586 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:29:51
[LAN access from remote] from 46.101.54.78:25216 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:38
[LAN access from remote] from 46.101.54.78:52677 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:13
[LAN access from remote] from 46.101.54.78:36812 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:27:00
[LAN access from remote] from 46.101.54.78:45750 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:36
[LAN access from remote] from 46.101.54.78:17352 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:11
Mas essas tentativas de conexão não aparecem no erro do Apache2 nem nos registros de acesso.
Há algum outro registro que mostre o que está acontecendo aqui?
Isso pode ser um ataque Inundação SYN .
Em resumo, o atacante remoto tenta abrir o máximo de conexão TCP possível, tentando esgotar alguns recursos (memória, disco de log, ...).
A configuração padrão do apache2 (como testado em 16.04) não registra essa conexão sem dados.
Sua caixa Ubuntu deve estar protegida contra esse tipo de ataque, net.ipv4.tcp_syncookies parece estar habilitado por padrão no Ubuntu, mas seu roteador pode estar em risco.