Apache repentinamente muito lento em http e mais rápido em https

3

Histórico: Eu tenho o Apache 2 rodando no Ubuntu. Há um baixo uso e é acessado principalmente por um URL de serviço da Web de aplicativos para dispositivos móveis. Ele estava funcionando bem até que eu instalei certificados SSL. Agora tenho tanto http como https. Quando eu acesso o servidor usando https, recebo uma resposta bastante rápida (mas provavelmente não tão rápida quanto antes). Quando eu uso o http, é tão lento.

O que eu tentei: De este post:

  • Eu curl localhost do host e isso leva algum tempo, o que significa que não há problema de roteamento.
  • O servidor é executado na instância do Amazon EC2 e é gerenciado somente por mim.

Também:

  • Vejo que o Apache, uma vez em execução, cria o número máximo de processos para os quais ele é permitido, o que não era o caso antes. Baixei os MaxClients para 20 e acho que estou obtendo respostas mais rápidas, mas ainda leva um minuto e sempre tenho processos MaxClients Apache.
  • dmesg retorna muitos [ 1953.655703] TCP: Possible SYN flooding on port 80. Sending cookies.
  • Quando eu netstat recebo muitas entradas com SYN_RECV . Possivelmente um ataque DDoS?
  • Nos diagramas de monitoramento do EC2, vejo um padrão de "Máximo de entrada de rede (bytes)" há dois dias. Pela maneira como o servidor ainda está sendo testado, o tráfego real é muito baixo e não consistente.
  • Tentei usar esta solução para limitar conexões de entrada usando iptables , ainda sem sorte, mas estou tentando.

Pergunta: Qual poderia ser o problema? Isso é um ataque DDoS?

Atualização: Eu discuti esse problema aqui . Foi de fato um ataque de DDoS; algumas soluções são discutidas também.

    
por hsnm 19.10.2012 / 23:11

1 resposta

0

Na próxima vez, talvez você queira usar algo como apachetop ou tail -f /var/log/httpd/access_log para ter uma ideia melhor do que está acontecendo. Você provavelmente teria visto muito ou solicitações chegando, possivelmente com um padrão reconhecível: como intervalos de ip específicos, ou mesmo url, talvez tentativas de força bruta em algum formulário de login etc. Você pode até querer automatizar isso colocando esses ip varia em uma regra de bloqueio do iptables se os pedidos de URL forem altos o suficiente em um determinado período de tempo.

    
por 30.11.2012 / 17:51