ホストがRAフラグ付きの大量のTCP / IPパケットを送信:DDoS攻撃の一部?
さまざまなサーバーにTCP/IPパケットを送信しようとするネットワーク上のホストがあります。 DSTポートは常に80または443で、フラグセットはRSTおよびACKです。これらのパケットはファイアウォールによってブロックされています。私は、whoisにすべてのターゲットアドレスと、Google CloudまたはAkamaiのすべてのアドレスを要求しました。 1秒以内に送信されたすべての100リクエスト。これは数回起こりました。
マルウェアがパケットがファイアウォールによってブロックされていることを認識したため、これ以上送信されるパケットがないことが私の疑いです。これは理にかなったアイデアですか、それともこの動作に対する悪意の少ない説明はありますか?
//疑わしいホストはWindows 7を実行しています。
TCP:RAを使用してファイアウォールにリストされているすべてのホストから証明書をフェッチし、ポート443に送信するスクリプトを作成しました。その結果、そのホストの約70%が*.dropbox.comおよび他のいくつかのクラウドベースのソリューション。ファイアウォールの状態を終了するRSTフラグが設定されたパケットを送信することにより、これらのクライアントの接続がサーバーによってリセットされたようです。次に、ファイアウォールはクライアントからのRST、ACK応答をブロックしました。したがって、ほとんどの場合マルウェアはありません。 1つのホストが実際に感染した。