a cada minuto - possível inundação de SYN na porta 80

5

Em nosso servidor Linux, de tempos em tempos, recebemos uma mensagem de inundação SYN bem conhecida:

possible SYN flooding on port 80

isso provavelmente não é um ataque porque o tráfego do site é grande.

No entanto, a partir de algum tempo essas mensagens começaram a chegar a cada ~ 60 segundos. O que eu quero dizer é o seguinte:

Aug 16 01:22:44 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:23:45 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:25:05 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:26:06 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:27:13 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:28:13 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:29:14 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:30:39 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:31:41 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:32:53 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:33:57 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:35:03 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:36:27 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:37:30 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:38:44 amadeus kernel: possible SYN flooding on port 80. Sending cookies.

isso é apenas por acidente ou não? Devido ao tráfego, não me preocupo com muitas mensagens de "possível inundação de SYN", mas elas são a cada 60 s.

Aqui estão as nossas configurações personalizadas em /etc/rc.local

# 3M
echo 3145728 > /proc/sys/net/netfilter/nf_conntrack_max

# 256k
echo 262144 > /proc/sys/net/ipv4/tcp_max_orphans

echo 1048576 1572864 4194304 > /proc/sys/net/ipv4/tcp_mem

# Neighbour Table Overflow
echo  4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo  8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 16384 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle

# Disable ip_forward
echo "0" > /proc/sys/net/ipv4/ip_forward

# Enable SYN Cookies
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo 40 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_recv

(Desculpe se esta questão é uma duplicata, mas eu não encontrei nenhum problema semelhante).

    
por Nick 20.08.2014 / 09:23

1 resposta

4

Eu tinha lido, porém, um pergunta semelhante e todas as respostas, e eu acho que você deveria tentar o que @Jeff está sugerindo em sua resposta (que não é a resposta aceita), que está levantando o backlog de escuta da aplicação rodando na porta 80.

Parece que a mensagem ocorre quando a "fila" ou "backlog" para conexões de entrada está sendo preenchida.

para apache2 ele escreve:

Para resolver isso, eu adiciono a seguinte linha em /etc/apache2/ports.conf ou em um dos outros arquivos .conf, que serão carregados pelo apache (/etc/apache2/apache2.conf deve ser também ok):

ListenBackLog 5000

E, em seguida, levante o tcp_max_syn_backlog para o mesmo

sudo sysctl -w net.ipv4.tcp_max_syn_backlog=5000
    
por 20.08.2014 / 10:25

Tags