LAST_ACK DDoS
Alexander Simonov
a.simonov at favoritbet.com
Mon Feb 11 11:11:16 MSK 2008
Приветствую!
Вот появилась некоторая проблемка, а именно:
В субботу вечером наш сервер был атакован очень большим количеством
соединений.
67-я циска сразу завернулась, не выдежала потока.
Как я понял была очень большая атака какого-то ботнета.
Самое интересное то что они создавали соединение и сразу отваливались.
В итогде в очереди висело очень много LAST_ACK соединений.
На вебсервере стоит Debian Sarge.
Настройки ядра для сети, измененные мною следующие:
net.core.somaxconn = 20480
net.ipv4.tcp_syncookies = 1
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.ipv4.tcp_no_metrics_save = 1
net.core.netdev_max_backlog = 2500
В ядре поумолчанию стоит net.ipv4.tcp_synack_retries и
net.ipv4.tcp_syn_retries равное 5и
Я вот думаю что будет если уменьшить эти значения до 2-х?
--
WBR,Alexander Simonov (DEVL-RIPE | DEVL-UANIC)
Programmer, IT Department, Dnepr-Victoria (http://favoritbet.com)
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20080211/e8de8383/attachment.html>
More information about the nginx-ru
mailing list