Re: мля атака =(
-=HaRius=-
rh на nobrend.ru
Чт Дек 9 01:37:57 MSK 2010
интересность.
не пашет http, вернее по фаербагу получаю 200 (Location = / - конечно убрал,
убил, все перезапустил)
https работает прекрасно.
=\
9 декабря 2010 г. 1:19 пользователь -=HaRius=- <rh at nobrend.ru> написал:
> # vmstat -z
> ITEM SIZE LIMIT USED FREE REQUESTS
> FAILURES
>
> UMA Kegs: 208, 0, 96, 6, 96,
> 0
> UMA Zones: 704, 0, 96, 4, 96,
> 0
> UMA Slabs: 568, 0, 18921, 7, 20091,
> 0
> UMA RCntSlabs: 568, 0, 16896, 2, 16896,
> 0
> UMA Hash: 256, 0, 0, 15, 3,
> 0
> 16 Bucket: 152, 0, 165, 10, 172,
> 0
> 32 Bucket: 280, 0, 298, 10, 299,
> 0
> 64 Bucket: 536, 0, 406, 0, 425,
> 270
> 128 Bucket: 1048, 0, 3293, 7, 31842996,
> 25
> VM OBJECT: 216, 0, 5805, 1251, 290347,
> 0
> MAP: 232, 0, 7, 25, 7,
> 0
> KMAP ENTRY: 120, 413013, 56, 719, 9240,
> 0
> MAP ENTRY: 120, 0, 1850, 2025, 955226,
> 0
> DP fakepg: 120, 0, 0, 0, 0,
> 0
> SG fakepg: 120, 0, 0, 0, 0,
> 0
> mt_zone: 2056, 0, 207, 8, 207,
> 0
> 16: 16, 0, 2754, 1782, 4089333,
> 0
> 32: 32, 0, 3706, 2253, 28850,
> 0
> 64: 64, 0, 5531, 2701, 201069,
> 0
> 128: 128, 0, 7298, 2011, 62918,
> 0
> 256: 256, 0, 2165, 1285, 59492,
> 0
> 512: 512, 0, 1006, 863, 28438,
> 0
> 1024: 1024, 0, 84, 556, 19245,
> 0
> 2048: 2048, 0, 75, 323, 1494,
> 0
> 4096: 4096, 0, 340, 678, 16753,
> 0
> Files: 80, 0, 21987, 56133, 4872774,
> 0
> TURNSTILE: 136, 0, 737, 163, 737,
> 0
> umtx pi: 96, 0, 0, 0, 0,
> 0
> MAC labels: 40, 0, 0, 0, 0,
> 0
> PROC: 1120, 0, 70, 410, 12414,
> 0
> THREAD: 912, 0, 573, 163, 581,
> 0
> SLEEPQUEUE: 64, 0, 737, 607, 737,
> 0
> VMSPACE: 392, 0, 51, 529, 12395,
> 0
> cpuset: 72, 0, 2, 98, 2,
> 0
> audit_record: 952, 0, 0, 0, 0,
> 0
> mbuf_packet: 256, 0, 0, 1408, 8528,
> 0
> mbuf: 256, 0, 1150, 33022, 140995574,
> 0
> mbuf_cluster: 2048, 262144, 2003, 31789, 107340535,
> 10380
> mbuf_jumbo_page: 4096, 16896, 0, 0, 0,
> 0
> mbuf_jumbo_9k: 9216, 8448, 0, 0, 0,
> 0
> mbuf_jumbo_16k: 16384, 4224, 0, 0, 0,
> 0
> mbuf_ext_refcnt: 4, 0, 42, 2142, 132034,
> 0
> ttyinq: 160, 0, 165, 171, 600,
> 0
> ttyoutq: 256, 0, 88, 122, 320,
> 0
> g_bio: 232, 0, 0, 976, 128888,
> 0
> ata_request: 312, 0, 0, 912, 32536,
> 0
> ata_composite: 336, 0, 0, 0, 0,
> 0
> VNODE: 472, 0, 4458, 806, 4770,
> 0
> VNODEPOLL: 112, 0, 2, 97, 2,
> 0
> S VFS Cache: 108, 0, 4658, 589, 119262,
> 0
> L VFS Cache: 328, 0, 0, 48, 6,
> 0
> NAMEI: 1024, 0, 0, 288, 1887311,
> 0
> DIRHASH: 1024, 0, 1116, 128, 1116,
> 0
> NFSMOUNT: 608, 0, 0, 0, 0,
> 0
> NFSNODE: 648, 0, 0, 0, 0,
> 0
> pipe: 728, 0, 6, 354, 8010,
> 0
> ksiginfo: 112, 0, 470, 586, 470,
> 0
> itimer: 344, 0, 0, 0, 0,
> 0
> KNOTE: 120, 0, 20377, 56348, 13244547,
> 0
> socket: 680, 102402, 29980, 71828, 29414249,
> 0
> unpcb: 240, 102400, 47, 321, 552,
> 0
> ipq: 56, 8253, 0, 0, 0,
> 0
> udp_inpcb: 336, 102410, 2, 328, 2212,
> 0
> udpcb: 16, 102480, 2, 1846, 2212,
> 0
> tcp_inpcb: 336, 102410, 49130, 53280, 4021759,
> 25388188
> tcpcb: 880, 102400, 29931, 71825, 4021759,
> 0
> tcptw: 72, 20500, 19199, 1301, 267339,
> 3289061
> syncache: 144, 102414, 1613, 18927, 18078696,
> 0
> hostcache: 136, 15372, 1117, 479, 1117,
> 0
> tcpreass: 40, 16464, 53, 787, 4682,
> 0
> sackhole: 32, 0, 0, 1818, 9095,
> 0
> ripcb: 336, 102410, 0, 220, 1537,
> 0
> rtentry: 200, 0, 6, 51, 6,
> 0
> pfsrctrpl: 152, 0, 0, 0, 0,
> 0
> pfrulepl: 912, 0, 0, 0, 0,
> 0
> pfstatepl: 392, 10000, 0, 0, 0,
> 0
> pfaltqpl: 240, 0, 0, 0, 0,
> 0
> pfpooladdrpl: 88, 0, 0, 0, 0,
> 0
> pfrktable: 1296, 0, 0, 0, 0,
> 0
> pfrkentry: 216, 0, 0, 0, 0,
> 0
> pfrkentry2: 216, 0, 0, 0, 0,
> 0
> pffrent: 32, 5050, 0, 0, 0,
> 0
> pffrag: 80, 0, 0, 0, 0,
> 0
> pffrcache: 80, 10035, 0, 0, 0,
> 0
> pffrcent: 24, 50022, 0, 0, 0,
> 0
> pfstatescrub: 40, 0, 0, 0, 0,
> 0
> pfiaddrpl: 120, 0, 0, 0, 0,
> 0
> pfospfen: 112, 0, 0, 0, 0,
> 0
> pfosfp: 40, 0, 0, 0, 0,
> 0
> IPFW dynamic rule: 120, 0, 0, 0, 0,
> 0
> selfd: 56, 0, 236, 1024, 54606,
> 0
> ip4flow: 56, 4158, 3642, 516, 120462,
> 3152043
> ip6flow: 80, 4140, 0, 0, 0,
> 0
> SWAPMETA: 288, 116519, 0, 0, 0,
> 0
> Mountpoints: 752, 0, 7, 23, 7,
> 0
> FFS inode: 168, 0, 4405, 611, 4713,
> 0
> FFS1 dinode: 128, 0, 0, 0, 0,
> 0
> FFS2 dinode: 256, 0, 4405, 515, 4711,
> 0
>
> # sysctl hw.intr_storm_threshold
> hw.intr_storm_threshold: 4000
>
> сетевуха igb на какой то supermicro платформе.
>
> > reset_timedout_connection on;
> конечно включен
>
> > Хотя 90k - это в общем не много.
> в 9 раз больше обычного =(
>
> sysctl kern.ipc.nmbclusters=262144
> увеличил.
>
> 2010/12/9 Maxim Dounin <mdounin at mdounin.ru>
>
> Hello!
>>
>> On Thu, Dec 09, 2010 at 12:07:32AM +0300, -=HaRius=- wrote:
>>
>> > наверное пинать будете не в тему рассылки, но сжальтесь!!!
>> >
>> > с 12 часов лежимс =(
>> >
>> > че делать уже идеи кончались
>> > перекрутил sysctl уже во все стороны
>> > сервак начал немного ползать, но как только
>> > nginx запускаю в консоль сразу начинает валится
>> >
>> > Dec 8 23:56:08 mail kernel: interrupt storm detected on "irq257:";
>> > throttling interrupt source
>> > Dec 8 23:56:08 mail kernel: Limiting open port RST response from 169 to
>> 50
>> > packets/sec
>> > Dec 8 23:56:09 mail kernel: interrupt storm detected on "irq257:";
>> > throttling interrupt source
>> > Dec 8 23:56:09 mail kernel: Limiting open port RST response from 230 to
>> 50
>> > packets/sec
>>
>> Я правильно понимаю, что irq257 - сетевуха? Если она
>> сколько-нибудь приличная, то попробовать потюнить буфера/задержки
>> прерываний. Ну или просто поднять hw.intr_storm_threshold, чтобы
>> по крайней мере сеть пыталась работать.
>>
>> > в логах полно:
>> >
>> > 80.138.138.94 - - [08/Dec/2010:23:32:16 +0300] "GET / HTTP/1.1" 0 0 "-"
>> "IE
>> > 7.0"
>>
>> [...]
>>
>> > что сделано
>> > 1. fail2ban натравлен на поиск агента "IE 7.0" - блочит, но не спасает
>> > 2. временно location = / { return 200; } - не спасает
>> > 3. if ($http_user_agent = "IE 7.0" ) { return 412;}
>> >
>> > if ($http_referer = "") { return 412;} - тож не стасает
>>
>> Ну уж тогда return 444;.
>>
>> > 4. sysctl - накручен
>> >
>> > sysctl -n kern.ipc.numopensockets
>> > 90228
>>
>> reset_timedout_connection on;
>>
>> Хотя 90k - это в общем не много.
>>
>> >
>> > # netstat -Lan
>> > Current listen queue sizes (qlen/incqlen/maxqlen)
>> > Proto Listen Local Address
>> > tcp4 0/0/128 *.4949
>> > tcp4 0/0/4096 88.212.196.18.443
>> > tcp4 0/0/4096 88.212.196.18.80
>> > tcp4 0/0/128 *.22
>> > tcp4 0/0/500 *.25
>> > tcp4 0/0/5 88.212.196.18.5666
>> > tcp4 0/0/20 127.0.0.1.53
>> > tcp4 0/0/511 127.0.0.1.80
>> > Some tcp sockets may have been created or deleted.
>> > unix 0/0/1 /var/run/fail2ban/fail2ban.sock
>> > unix 0/0/4 /var/run/devd.pipe
>>
>> Ну просто таки тишина и покой. Впрочем, это вероятно следствие
>> "throttling interrupt source".
>>
>> > # netstat -m
>> > 1377/36183/37560 mbufs in use (current/cache/total)
>> > 754/33038/33792/33792 mbuf clusters in use (current/cache/total/max)
>>
>> А говорите sysctl накручен. У вас mbuf cluster'ов с гулькин фиг.
>>
>> sysctl kern.ipc.nmbclusters=262144
>>
>> В nginx'е можно ещё поуменьшать буфера на сокетах (listen ...
>> rcvbuf=... sndbuf=...), дабы немного поэкономить память если её не
>> хватает.
>>
>> > 36/1628 mbuf+clusters out of packet secondary zone in use
>> (current/cache)
>> > 0/0/0/16896 4k (page size) jumbo clusters in use
>> (current/cache/total/max)
>> > 0/0/0/8448 9k jumbo clusters in use (current/cache/total/max)
>> > 0/0/0/4224 16k jumbo clusters in use (current/cache/total/max)
>> > 1852K/75121K/76974K bytes allocated to network (current/cache/total)
>> > 0/17954981/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
>> > 0/0/0 requests for jumbo clusters denied (4k/9k/16k)
>> > 0/0/0 sfbufs in use (current/peak/max)
>> > 0 requests for sfbufs denied
>> > 0 requests for sfbufs delayed
>> > 1377 requests for I/O initiated by sendfile
>> > 0 calls to protocol drain routines
>> >
>> > как еще бороться ?????
>>
>> Ну и vmstat -z посмотрите для комплекта, там лучше видно чего не
>> хватает.
>>
>> Но при таком количестве mbuf cluster'ов при таком количестве
>> сокетов - странно что оно вообще работает, должно всё в
>> zonelimit'е висеть беспробудно.
>>
>> Maxim Dounin
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://nginx.org/mailman/listinfo/nginx-ru
>>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20101209/0b5ea55d/attachment-0001.html>
Подробная информация о списке рассылки nginx-ru