サーバーログではなく、ルーターログのポート80での接続試行

Question

ルータの背後にあるLANに接続されたUbuntuサーバーのポート80に静的Apache2 Webサイトがあります。 Webサイトは正常に機能します。

ルーターログには、このようにポート80への接続試行のバーストが表示されます

[LAN access from remote] from 46.101.54.78:31560 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:30:16 [LAN access from remote] from 46.101.54.78:25586 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:29:51 [LAN access from remote] from 46.101.54.78:25216 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:38 [LAN access from remote] from 46.101.54.78:52677 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:13 [LAN access from remote] from 46.101.54.78:36812 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:27:00 [LAN access from remote] from 46.101.54.78:45750 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:36 [LAN access from remote] from 46.101.54.78:17352 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:11

ただし、これらの接続試行は、Apache2エラーまたはアクセスログのいずれにも表示されません。

ここで何が起こっているかを示す他のログはありますか？

pim · Accepted Answer

これは、 SYNフラッド攻撃である可能性があります。

手短に言えば、リモートの攻撃者はできるだけ多くのTCP接続を開き、リソース（メモリ、ログディスクなど）を使い果たしようとします。

デフォルトのApache2構成（16.04でテスト済み）では、このようなデータレス接続は記録されません。

あなたのubuntuボックスは、そのような攻撃から保護されるべきです、net.ipv4.tcp_syncookiesはUbuntuでデフォルトで有効になっているようですが、ルーターが危険にさらされている可能性があります。