possible SYN flooding on port 80. Sending cookies.
Elifan
elifan2007 at ya.ru
Thu Mar 13 14:04:18 MSK 2008
Здравствуйте, Igor.
Вы писали 13 марта 2008 г., 12:35:58:
> On Thu, Mar 13, 2008 at 01:24:12PM +0530, Anton Bogdanovitch wrote:
>> На сервере установлен nginx/0.5.26 + php-cgi 5.2.5 через fastcgi.
>> Нагрузка ~ 4000 уникальных посетителей в час.
>> В /var/log/messages каждые 10-20 минут появляется сообщение
>> kernel: possible SYN flooding on port 80. Sending cookies.
>> netstat -n -p|grep SYN_REC | wc -l
>> показывает от 30 до 250 соединений SYN_REC, причем если соединений
>> больше 100, то 80 из них - это один ip, потом он исчезает, появляется
>> другой ip, и так далее.
>> Раз в сутки сервер стабильно виснет, не оставляя ничего в логах, кроме
>> possible SYN flooding on port 80. Sending cookies. Так, что админам
>> приходится ребутить руками. В рабочее время нагрузка на нем почти ноль.
>> Может ли причиной быть кривая конфигурация/баг в nginx? (конфиг в аттаче)
> Судя по контексту - это Линукс. Какое ядро ?
> Можно попробовать убрать sendfile.
net.ipv4.tcp_syncookies=0
после этого - ребут.
Как показывает практика - эта т.н. "защита" только может сделать хуже
вовремя атаки.
--
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20080313/67459d50/attachment.html>
More information about the nginx-ru
mailing list