possible SYN flooding on port 80. Sending cookies.

Elifan elifan2007 at ya.ru
Thu Mar 13 14:04:18 MSK 2008


Здравствуйте, Igor.

Вы писали 13 марта 2008 г., 12:35:58:

> On Thu, Mar 13, 2008 at 01:24:12PM +0530, Anton Bogdanovitch wrote:

>> На сервере установлен nginx/0.5.26 + php-cgi 5.2.5 через fastcgi.
>> Нагрузка ~ 4000 уникальных посетителей в час.
>> В /var/log/messages каждые 10-20 минут появляется сообщение
>> kernel: possible SYN flooding on port 80. Sending cookies.

>> netstat -n -p|grep SYN_REC | wc -l
>> показывает от 30 до 250 соединений SYN_REC, причем если соединений 
>> больше 100, то 80 из них - это один ip, потом он исчезает, появляется 
>> другой ip, и так далее.

>> Раз в сутки сервер стабильно виснет, не оставляя ничего в логах, кроме 
>> possible SYN flooding on port 80. Sending cookies. Так, что админам 
>> приходится ребутить руками. В рабочее время нагрузка на нем почти ноль.

>> Может ли причиной быть кривая конфигурация/баг в nginx? (конфиг в аттаче)

> Судя по контексту - это Линукс. Какое ядро ?
> Можно попробовать убрать sendfile.



net.ipv4.tcp_syncookies=0
после этого - ребут.
Как показывает практика - эта т.н. "защита" только может сделать хуже
вовремя атаки.


-- 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20080313/67459d50/attachment.html>


More information about the nginx-ru mailing list