Não vejo qualquer evidência de um ataque nos dados que você publicou aqui.
A única coisa que eu consideraria incomum sobre esses números é quão lentamente as conexões TCP estão abrindo e fechando. Eu não esperaria ver dois dígitos para SYN_RECV
, FIN_WAIT1
e FIN_WAIT2
. Isso significa que, se houver um ataque, ele provavelmente não será baseado em TCP / porta 80 ou saturará algum canal de rede que atrasa suas comunicações, possivelmente a montante de seus dispositivos.
Veja seus gráficos de largura de banda e peça ao seu provedor de hospedagem para ver o deles. Se isso não aparecer, comece a procurar equipamentos de rede com defeito. Se você puder ver um grande aumento na largura de banda, extraia estatísticas de qualquer dispositivo de rede de borda que você puder sobre o tipo de tráfego que você está vendo.
TIME_WAIT
conexões não são um problema para você. Eles só se tornam um problema quando você tem tantos deles que você não pode abrir novas conexões. Esse limite é de cerca de 30.000 por padrão.