possible SYN flooding on port 80. Sending cookies.

Борис Долгов boris at dolgov.name
Thu Mar 13 17:08:31 MSK 2008


Да, про силу допускаю, до сильного еще не дорвался :)
Спасибо за ответ.

13.03.08, Elifan<elifan2007 at ya.ru> написал(а):
>
>
>
> Здравствуйте, Борис.
>
>
>
>
> Со всем уважением к вам - видимо не таков сильный syn-флуд был.
>
> Подробности не раскрою, но проблемы будут с CPU и переполнением таблиц,
> очередей и тд...
>
>
>
>
> Попробуйте выключить, должны уйти проблемы о которых вы писали, да и других
> избежите :)
>
> Всегда сможете вернуть все обратно.
>
>
>
>
>
> > Здравствуйте, Elifan.
>
> > А в чем заключалась проблема?
>
> > Использую везде, проблем во время ddos'а не замечал.
>
>
>
>
>
>
>
> > 13.03.08, Elifan <elifan2007 at ya.ru> написал(а):
>
>
>
>
>
>
>
>
>
>
> >> Здравствуйте, Igor.
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> Вы писали 13 марта 2008 г., 12:35:58:
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> > On Thu, Mar 13, 2008 at 01:24:12PM +0530, Anton Bogdanovitch wrote:
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> >> На сервере установлен nginx/0.5.26 + php-cgi 5.2.5 через fastcgi.
>
>
>
>
> >> >> Нагрузка ~ 4000 уникальных посетителей в час.
>
>
>
>
> >> >> В /var/log/messages каждые 10-20 минут появляется сообщение
>
>
>
>
> >> >> kernel: possible SYN flooding on port 80. Sending cookies.
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> >> netstat -n -p|grep SYN_REC | wc -l
>
>
>
>
> >> >> показывает от 30 до 250 соединений SYN_REC, причем если соединений
>
>
>
>
> >> >> больше 100, то 80 из них - это один ip, потом он исчезает, появляется
>
>
>
>
> >> >> другой ip, и так далее.
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> >> Раз в сутки сервер стабильно виснет, не оставляя ничего в логах, кроме
>
>
>
>
> >> >> possible SYN flooding on port 80. Sending cookies. Так, что админам
>
>
>
>
> >> >> приходится ребутить руками. В рабочее время нагрузка на нем почти
> ноль.
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> >> Может ли причиной быть кривая конфигурация/баг в nginx? (конфиг в
> аттаче)
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> > Судя по контексту - это Линукс. Какое ядро ?
>
>
>
>
> >> > Можно попробовать убрать sendfile.
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> net.ipv4.tcp_syncookies=0
>
>
>
>
> >> после этого - ребут.
>
>
>
>
> >> Как показывает практика - эта т.н. "защита" только может сделать хуже
>
>
>
>
> >> вовремя атаки.
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> >> --
>
>
>
>
>
>
>
>
>
>
> --


More information about the nginx-ru mailing list