possible SYN flooding on port 80. Sending cookies.
Запись создана 12 февраля, 2009
Начал падать апач, при ближайшем рассмотрении dmesg выдал:
possible SYN flooding on port 80. Sending cookies.
посмотрим кто же у нас лидер по SYN запросам:
[cc lang=»bash»]netstat -n -p | grep SYN_REC| awk ‘{print $5}’|awk -F: ‘{print $1}’ | sort -n | uniq -c | sort -nr | head -n10[/cc]
на первом месте 88.147.212.229 с числом 1030, это один из наших победителей. банним ублюдка:
[cc lang=»bash»]iptables -I INPUT -p tcp -s 88.147.212.229 -j REJECT —reject-with tcp-reset[/cc]
если таких явных лидеров нет (и ничего не валится, кроме сообщений в /var/log/messages), то возможно ложное срабатывание. Лечим так:
[cc lang=»bash»]
sysctl -w net.ipv4.tcp_syncookies=0
затем в конфиг /etc/sysctl.conf добавляем строчку:
net.ipv4.tcp_syncookies=0
проверяем:
cat /proc/sys/net/ipv4/tcp_syncookies
[/cc]
Схожие темы
» Запись из раздела CentOS Linux, networking | 3 комментария
Комментарии
3 комментария to “possible SYN flooding on port 80. Sending cookies.”
Ответить
«если таких явных лидеров нет (и ничего не валится, кроме сообщений в /var/log/messages), то возможно ложное срабатывание.»
Лучше не отключать tcp_syncookies. На практике действительно могла закончиться очередь для SYN-запросов.
Как отключить выдачу сообщений, не отключая tcp_syncookies?
AFAIK, только настроить фильтры syslog