possible SYN flooding on port 80. Sending cookies.

Elifan elifan2007 at ya.ru
Thu Mar 13 15:24:14 MSK 2008


Здравствуйте, Борис.

Со всем уважением к вам - видимо не таков сильный syn-флуд был.
Подробности не раскрою, но проблемы будут с CPU и переполнением таблиц, очередей и тд...

Попробуйте выключить, должны уйти проблемы о которых вы писали, да и других избежите :)
Всегда сможете вернуть все обратно.

> Здравствуйте, Elifan.
> А в чем заключалась проблема?
> Использую везде, проблем во время ddos'а не замечал.


> 13.03.08, Elifan <elifan2007 at ya.ru> написал(а):



>> Здравствуйте, Igor.




>> Вы писали 13 марта 2008 г., 12:35:58:





>> > On Thu, Mar 13, 2008 at 01:24:12PM +0530, Anton Bogdanovitch wrote:




>> >> На сервере установлен nginx/0.5.26 + php-cgi 5.2.5 через fastcgi.

>> >> Нагрузка ~ 4000 уникальных посетителей в час.

>> >> В /var/log/messages каждые 10-20 минут появляется сообщение

>> >> kernel: possible SYN flooding on port 80. Sending cookies.




>> >> netstat -n -p|grep SYN_REC | wc -l

>> >> показывает от 30 до 250 соединений SYN_REC, причем если соединений

>> >> больше 100, то 80 из них - это один ip, потом он исчезает, появляется

>> >> другой ip, и так далее.




>> >> Раз в сутки сервер стабильно виснет, не оставляя ничего в логах, кроме

>> >> possible SYN flooding on port 80. Sending cookies. Так, что админам

>> >> приходится ребутить руками. В рабочее время нагрузка на нем почти ноль.




>> >> Может ли причиной быть кривая конфигурация/баг в nginx? (конфиг в аттаче)




>> > Судя по контексту - это Линукс. Какое ядро ?

>> > Можно попробовать убрать sendfile.










>> net.ipv4.tcp_syncookies=0

>> после этого - ребут.

>> Как показывает практика - эта т.н. "защита" только может сделать хуже

>> вовремя атаки.







>> --



-- 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20080313/d8f5cd39/attachment.html>


More information about the nginx-ru mailing list