possible SYN flooding on port 80. Sending cookies.

Запись создана февраля 12, 2009

Начал падать апач, при ближайшем рассмотрении dmesg выдал:
possible SYN flooding on port 80. Sending cookies.

посмотрим кто же у нас лидер по SYN запросам:

netstat -n -p | grep SYN_REC| awk '{print $5}'|awk -F: '{print $1}' | sort -n | uniq -c | sort -nr | head -n10

на первом месте 88.147.212.229 с числом 1030, это один из наших победителей. банним ублюдка:

iptables -I INPUT -p tcp -s 88.147.212.229 -j REJECT --reject-with tcp-reset

если таких явных лидеров нет (и ничего не валится, кроме сообщений в /var/log/messages), то возможно ложное срабатывание. Лечим так:

sysctl -w net.ipv4.tcp_syncookies=0

затем в конфиг /etc/sysctl.conf добавляем строчку:
net.ipv4.tcp_syncookies=0

проверяем:
cat /proc/sys/net/ipv4/tcp_syncookies

» Запись из раздела CentOS Linux, networking | 3 комментария

Комментарии



3 комментария to “possible SYN flooding on port 80. Sending cookies.”

  1. Макс Филенко on октября 7, 2009 11:00

    «если таких явных лидеров нет (и ничего не валится, кроме сообщений в /var/log/messages), то возможно ложное срабатывание.»
    Лучше не отключать tcp_syncookies. На практике действительно могла закончиться очередь для SYN-запросов.

  2. Алёна on февраля 11, 2012 16:45

    Как отключить выдачу сообщений, не отключая tcp_syncookies?

  3. Артур Шакиров on февраля 22, 2012 8:18

    AFAIK, только настроить фильтры syslog




Ответить