<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title></title>
<META http-equiv=Content-Type content="text/html; charset=koi8-r">
<meta http-equiv="Content-Style-Type" content="text/css">
<style type="text/css"><!--
body {
margin: 5px 5px 5px 5px;
background-color: #ffffff;
}
/* ---------- Text Styles ---------- */
hr { color: #000000}
body, table /* Normal text */
{
font-size: 9pt;
font-family: 'Courier New';
font-style: normal;
font-weight: normal;
color: #000000;
text-decoration: none;
}
span.rvts1 /* Heading */
{
font-size: 10pt;
font-family: 'Arial';
font-weight: bold;
color: #0000ff;
}
span.rvts2 /* Subheading */
{
font-size: 10pt;
font-family: 'Arial';
font-weight: bold;
color: #000080;
}
span.rvts3 /* Keywords */
{
font-size: 10pt;
font-family: 'Arial';
font-style: italic;
color: #800000;
}
a.rvts4, span.rvts4 /* Jump 1 */
{
font-size: 10pt;
font-family: 'Arial';
color: #008000;
text-decoration: underline;
}
a.rvts5, span.rvts5 /* Jump 2 */
{
font-size: 10pt;
font-family: 'Arial';
color: #008000;
text-decoration: underline;
}
span.rvts6
{
font-weight: bold;
color: #800000;
}
a.rvts7, span.rvts7
{
color: #0000ff;
text-decoration: underline;
}
span.rvts8
{
font-weight: bold;
color: #800000;
}
span.rvts9
{
font-weight: bold;
color: #800080;
}
span.rvts10
{
font-size: 8pt;
font-family: 'arial';
font-style: italic;
color: #c0c0c0;
}
/* ---------- Para Styles ---------- */
p,ul,ol /* Paragraph Style */
{
text-align: left;
text-indent: 0px;
padding: 0px 0px 0px 0px;
margin: 0px 0px 0px 0px;
}
.rvps1 /* Centered */
{
text-align: center;
}
--></style>
</head>
<body>
<p>Здравствуйте, Борис.</p>
<p><br></p>
<p>Со всем уважением к вам - видимо не таков сильный syn-флуд был.</p>
<p>Подробности не раскрою, но проблемы будут с CPU и переполнением таблиц, очередей и тд...</p>
<p><br></p>
<p>Попробуйте выключить, должны уйти проблемы о которых вы писали, да и других избежите :)</p>
<p>Всегда сможете вернуть все обратно.</p>
<p><br></p>
<p><span class=rvts6>> Здравствуйте, Elifan.</span></p>
<p><span class=rvts6>> А в чем заключалась проблема?</span></p>
<p><span class=rvts6>> Использую везде, проблем во время ddos'а не замечал.</span></p>
<p><br></p>
<p><br></p>
<p><span class=rvts6>> 13.03.08, Elifan <</span><a class=rvts7 href="mailto:elifan2007@ya.ru">elifan2007@ya.ru</a><span class=rvts8>> написал(а):</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> Здравствуйте, Igor.</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> Вы писали 13 марта 2008 г., 12:35:58:</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> > On Thu, Mar 13, 2008 at 01:24:12PM +0530, Anton Bogdanovitch wrote:</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> >> На сервере установлен nginx/0.5.26 + php-cgi 5.2.5 через fastcgi.</span></p>
<p><br></p>
<p><span class=rvts9>>> >> Нагрузка ~ 4000 уникальных посетителей в час.</span></p>
<p><br></p>
<p><span class=rvts9>>> >> В /var/log/messages каждые 10-20 минут появляется сообщение</span></p>
<p><br></p>
<p><span class=rvts9>>> >> kernel: possible SYN flooding on port 80. Sending cookies.</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> >> netstat -n -p|grep SYN_REC | wc -l</span></p>
<p><br></p>
<p><span class=rvts9>>> >> показывает от 30 до 250 соединений SYN_REC, причем если соединений</span></p>
<p><br></p>
<p><span class=rvts9>>> >> больше 100, то 80 из них - это один ip, потом он исчезает, появляется</span></p>
<p><br></p>
<p><span class=rvts9>>> >> другой ip, и так далее.</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> >> Раз в сутки сервер стабильно виснет, не оставляя ничего в логах, кроме</span></p>
<p><br></p>
<p><span class=rvts9>>> >> possible SYN flooding on port 80. Sending cookies. Так, что админам</span></p>
<p><br></p>
<p><span class=rvts9>>> >> приходится ребутить руками. В рабочее время нагрузка на нем почти ноль.</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> >> Может ли причиной быть кривая конфигурация/баг в nginx? (конфиг в аттаче)</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> > Судя по контексту - это Линукс. Какое ядро ?</span></p>
<p><br></p>
<p><span class=rvts9>>> > Можно попробовать убрать sendfile.</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> net.ipv4.tcp_syncookies=0</span></p>
<p><br></p>
<p><span class=rvts9>>> после этого - ребут.</span></p>
<p><br></p>
<p><span class=rvts9>>> Как показывает практика - эта т.н. "защита" только может сделать хуже</span></p>
<p><br></p>
<p><span class=rvts9>>> вовремя атаки.</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>>> --</span></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts10>-- </span></p>
</body></html>