Коротко о разборе строки tcpdump и дальше — три этапа, признаки атак и какие защитные меры работают на каких уровнях.

Разбор строки
10.0.0.1.443 > 192.168.1.5.52830: Flags $$S$$, seq 0

Это TCP-пакет от IP 10.0.0.1, исходный порт 443, к 192.168.1.5:52830 $эпhemeralпорт$. Флаг $$S$$ = SYN — начало TCP‑сессии $первыйпакеттрехстороннегорукопожатия$. seq 0 — tcpdump показывает относительные номера последовательности, поэтому «0» обычно означает ISN $initialsequencenumber$ в относительном виде. Примечание: обычно клиент инициирует соединение к серверу: client:ephemeral -> server:443 $SYN$. В вашем примере источником является порт 443, значит либо сервер инициирует обратное соединение, либо вы смотрите трафик с точки зрения роутера/NAT и адреса/порты кажутся «перевернутыми».

Трехстороннее установление соединения TCP $TCPthree-wayhandshake$

SYN (client -> server): клиент посылает пакет с флагом SYN и своим ISN $seq=x$. Может содержать TCP-опции: MSS, SACK, WS, timestamps. SYN-ACK (server -> client): сервер отвечает с флагами SYN+ACK, своим ISN $seq=y$ и ack = x+1 $подтверждениеSYNклиента$. ACK (client -> server): клиент посылает ACK с ack = y+1 и seq = x+1 — соединение считается установленным и стороны могут передавать данные.

Какие признаки в сетевом трафике указывают на SYN‑flood

Большое количество SYN-пакетов к одному/нескольким целевым портам при очень малом количестве соответствующих ACK $высокоесоотношениеSYN:ACK/ESTABLISHED$. Множество «half-open» соединений на сервере $большаяочередьpendingconnections/backlog$. SYN-пакеты с поддельными/несуществующими исходными IP $спуффинг$ — большое разнообразие source IP, часто непривычные TTL/опции. Высокая частота SYN в pps $packetspersecond$ и резкое увеличение нагрузки на CPU/conntrack. В tcpdump это будет выглядеть как повторяющиеся строки с Flags $$S$$ без последующих $$S.$$ / $$.$$ от тех же пар адрес/порт. Логи сервера: неуспешные accept, длительное ожидание в TIME_WAIT/полузакрытых состояниях.

Детекция/инструменты:

netstat/ss — много соединений в SYN_RECV; conntrack counters; серверные логи; NetFlow/sFlow/IPS метрики; tcpdump фильтр «tcp$$tcpflags$$ & tcp-syn != 0 && tcp$$tcpflags$$ & tcp-ack == 0». Поведение опций — многие бот-синхрони отсутствуют MSS/timestamp.

Защита/смягчение против SYN-flood $уровеньтранспорта/сети$

Включить TCP SYN cookies $linux:net.ipv4.tc{p}_{s}yncookies=1$. Увеличить backlog и сократить таймауты $ноэтовременное$. Синхронизировать ограничения на уровне OS $conntrack,ulimit$. SYNPROXY $вnetfilter/iptables$ — завершает рукопожатие и пропускает только установленные соединения. Rate limiting: iptables/ACL/route‑maps, tc — ограничение числа SYN по IP или интерфейсу. РПФ/BCP38 на пограничных роутерах — уменьшает спуффинг. Сетевые/облачные сервисы защиты от DDoS $scrubbingcenters,CDN,провайдерскоефильтрование,BGPFlowSpec$ — если атака большая. Черные дыры/чёрное‑холинг или «null route» как крайняя мера для защиты инфраструктуры.

Какие признаки указывают на BGP‑хайджек $BGPhijack$

Внезапное изменение AS_PATH или ORIGIN для вашего префикса $асинхронные/неожиданныеобъявления$. Появление нового origin AS для префикса, который раньше был объявлен только вашим AS. Появление более специфичных префиксов $longer‑prefixhijack$ — новые /24, /25 и т.п. по вашему диапазону. Резкие всплески BGP‑updates, флапы маршрутов. Трассировка $traceroute$ показывает неожиданный маршрут / переход через незнакомые AS. Резкое падение трафика/доступности для пользователей в некоторых регионах; аномалии RTT/путь. BGP session/route collector alerts / мониторинг $BGPmon,RIPERIS,RouteViews$ — уведомления о новых origin.

Детекция/инструменты:

show ip bgp / bgp summary на роутере; подписки на BGP‑мониторинг $BGPmon,RIPERIS,ARTEMIS$, looking glasses; RPKI/ROA проверки; tcpdump порта 179 для перехвата и анализа BGP‑UPDATE. Сравнение объявлений с ожидаемым IRR/RPKI.

Защита/смягчение против BGP‑хайджек $уровеньсети/плануправлениямаршрутизацией$

Фильтрация префиксов по upstreams/peers $prefixfilters,IRR/RPKI-basedfilters$. RPKI/ROA: подписанные ROA и включённая Origin Validation на маршрутизаторах. Ограничения на максимальное количество префиксов, route‑maps, prefix length filters. BGP сессии защищать $MD5/authentication$ и включить TTL security $GTSM$ где применимо. Много провайдеров / мультихоминг, мониторинг маршрутов и оповещение $быстрореагировать$. В случае hijack — координация с upstream/peers, анноунс более специфичных префиксов $ifsafe$, публикация информации и обращение к операторам, использовать IRR/RPKI для подтверждения легитимности. В крупных случаях — уведомлять community/регуляторов/провайдеров.

Уровни защиты: сетевой, транспортный, прикладной $сконкретикой$

Сетевой уровень $L3$:
RPKI/ROA, prefix filtering, BGP best‑practices, ACL на пограничных роутерах, BCP38 $ingressfiltering$, FlowSpec/blackholing, DDoS‑scrubbing, провайдерские фильтры. Транспортный уровень $L4$:
TCP SYN cookies, SYNPROXY, connection rate limits, stateful firewall $track/limitnewconnections$, conntrack tuning, load balancers/anycast, CDN/edge termination. Прикладной уровень $L7$:
WAF, rate limiting per user/session/IP, CAPTCHA/behavioural checks, authentication, кэширование контента на CDN, проверка и логирование запросов, аналитика аномалий $поведениеAPI/ошибки,частотазапросов$, application gateways $terminateTLSифильтроватьзапросы$, throttling и защитные механизмы в коде.

Рекомендации при обнаружении инцидента

При SYN‑flood: включить SYN cookies, применить rate‑limit и SYNPROXY, уведомить провайдера/использовать scrubbing. При возможности — временно блокировать источники по ACL. При BGP‑хайджеке: срочно связаться с upstream/peer, сверить объявления $whois/lookingglass$, сообщить в мониторинг/сообщество, при необходимости аннонсировать более специфичный маршрут и задействовать RPKI/IRR‑фильтры. Во всех случаях: собрать доказательства $pcap,BGPupdates,netflow$, установить мониторинг $alerts$, и позже провести постмортем и закрыть уязвимости $фильтры,RPKI,конфиги$.

Если нужно, могу:

Показать пример tcpdump/grep команды для выявления только SYN‑пакетов. Привести пример BGP‑UPDATE, указывающий на подмену origin AS, и команды на Cisco/JunOS для диагностики.