<div class="gmail_quote">On Thu, Aug 27, 2009 at 12:11 AM, Alain Williams <span dir="ltr"><<a href="mailto:addw@phcomp.co.uk">addw@phcomp.co.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
My web server (bytemark VM) is exeriencing a SYN flood attack from a site in Russia.<br>
This is where they send the TCP SYN packet but then ignore the reply from my machine.<br>
The packets all come from 193.169.4.X & 193.169.5.X, where X is incremented 0..255.<br>
There is nothing in the Apache log files for this.<br>
<br>
</blockquote><div><br>[snip]<br><br><a href="http://193.169.4.0/23">193.169.4.0/23</a> is not routed at the moment. It is unlikely that the syn
flood is really coming from there. Most likely someone is spoofing the
SYN packets. Unfortunately this could be coming from anywhere.. the
only way to trace it is interface by interface ISP by ISP. It will
probably be quite difficult to get cooperation from all the ISPs to do
this.<br>
<br>
Interestingly, my machine has recently been involved with an attack
against <a href="http://193.169.4.0/23">193.169.4.0/23</a> using DNS. Basically someone is spoofing DNS
queries to my nameserver for . (ie: the root zone) NS (nameserver
records) from random IPs in <a href="http://193.169.4.0/23">193.169.4.0/23</a> and I'm sending replies to that network. Actually the reply
I'm sending is "query refused", but it was still sending that. Probably
they are doing this on a large scale and that is also quite possibly
why the route has been withdrawn (to prevent flooding their inbound
links from all the people trying to reply to requests supposedly from them).<br><br>It's probably that your SYNACKs (replies to the SYN) were also being used as a flood against <a href="http://193.169.4.0/23">193.169.4.0/23</a> - although it's not an amplification attack it makes it very hard for them to track the original source of the flood.<br>

<br>I certainly have no idea who's doing this or why, but <a href="http://193.169.4.0/23">193.169.4.0/23</a> are the victims here not the aggressors.<br><br>Rob.<br></div></div>