История изменений
Исправление andrew667, (текущая версия) :
Образец дампа(во время атаки): http://rghost.ru/private/56653828/667c58c3d64cc479ed84c93a6fc91a8f
Это не DDoS атака SYN флудом. Посмотри на графики, которые я построил в wireshark. Из аномалий у тебя четко виден TCP DUP ACK/TCP Retransmission. Графики использования канала считай симметричны - по 100 мегабит на прием и на отдачу. Ты дамп полный выливал, или пакеты подрезаны по размеру? Надо определить общий признак для левый пакетов с src_ip=any и dst_ip=5.39.67.70, и по нему написать правила.
P.S. Возможно тебя даже не атакуют, а косячно сделана или настроена сетка.
Исходная версия andrew667, :
Образец дампа(во время атаки): http://rghost.ru/private/56653828/667c58c3d64cc479ed84c93a6fc91a8f
Это не DDoS атака SYN флудом. Посмотри на графики, которые я построил в wireshark. Из аномалий у тебя четко виден TCP DUP ACK/TCP Retransmission. Графики использования канала считай симметричны - по 100 мегабит на прием и на отдачу. Ты дамп полный выливал, или пакеты подрезаны по размеру? Надо определить общий признак для левый пакетов с src_ip=any и dst_ip=5.39.67.70, и по нему написать правила.