Buenos días a todos los participantes de esta gran comunidad,quisiera comentar el caso que me sucedió el día de hoy para ver si me pueden colaborar a encontrar una solución y si es posible una dirección ip de donde provino el ataque.
La red empresarial tuvo un comportamiento muy diferente del habitual, el envío y recepción de paquetes del equipo hacia el servidor supero por mucho la transferencia normal de este.Lo que ocasionaba que el sistema colapsara y se cayera el proceso del software contable que se tiene implementado en el servidor de aplicaciones.de igual manera los equipo estaban demasiado lentos y la intranet imposible.
Al observar la gran cantidad de envio y recibos de datos desde varias direcciones ip al servidor (ip publica) realice una captura de datos en mi eqipo cliente y en el trafico del firewall, de lo s datos capturados pude deducir un posible ataque de denegacioon de servicios por parte de un posible usuario de la propia red.
Me gustaria me ayudaran dandome su opinion de como podria identificar al posible atacante , y como actuar ante este tipo de casos.
Tengo las capturas y si alguien quisiera verlos para dar una opinion mas especifica se los podria compartir.
Gracias por su atencion espero que alguien me pueda ayudar.

A mi me gustaría ver que tienes y poder ayudar ;)
enviame un MP o publicalo por aquí , varios te daran una mano.

muchas Gracias los que han respondido, se me olvido comentar un procedimiento que hice despues de que los usuarios del sistema salieron hice un escaneo con el servidor de antivirus kapersky a los equipos cliente , y en algunas estaciones mostraba la alerta synflood atack y que provenia de la ip 192.168.0.17. otro dato importante fue que ene estos equipos las carpetas se duplicaban y generaban una carpeta con una extension .exe del mismo nombre.

El Brujo creador de ElHacker.net hace unos años hizo un articulo de lo mas completo que he visto para detener ataques DDoS

Intentando detener un DDoS (http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html)

El CSIRT CV tambien ha sacado buena info al respecto
https://recursos.csirtcv.es/index.php?topic=171.0

Estimado, si tu plataforma es Linux se puede controlar fijando el número de procesos a ejecutar por el usuario con la varialble ulimit configurada /etc/security/limits.conf si no es suficiente puedes registrar también en /etc/profile, /etc/bashrc
Se recomienda ver antes y despues de la configuración el comando ulimit -a , por otro lado se debe reiniciar el servidor para ver si la configuración toma efecto.
Saludos.

La inundación SYN envía un flujo de paquetes TCP/SYN (varias peticiones con Flags SYN en la cabecera), muchas veces con la dirección de origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimiento de conexión TCP de 3 vías). Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta.
Estos intentos de conexión consumen recursos en el servidor y copan el número de conexiones que se pueden establecer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de conexión.


SYN cookies provee un mecanismo de protección contra Inundación SYN, eliminando la reserva de recursos en el host destino, para una conexión en momento de su gestión inicial.

Fuente: wikipedia

Tiene toda la pinta de ser un virus, pero estoy pensando... tendrás un proxy y filtraras web's , IP, y demás, podría alguien estas con emule, bitorrent, ...., que son programas que generan muchas peticiones, estar corriendo desde algún terminal????