经常出现 Limiting *** from XXX to 200 packets/sec 怎么办
诊断:这种现象需要分情况讨论。如果你的服务很繁忙,并且看到的是 open port RST,这种情况必须重视,因为它显示你的服务响应能力不足。如果是closed port RST,说明有人在尝试扫描你的端口,或者某个被人经常访问的服务死掉了。对于前一种情况,假如感觉这种提示很烦,可以考虑用下列配置:
net.inet.icmp.icmplim_output=0
来禁止输出,然而这可能不是一个好主意;另一个办法是提高limit:
net.inet.icmp.icmplim=1000
这同样不是一个好主意,因为它可能造成杠杆式 DoS(通过伪造源 IP 地址来让你的服务器互相发 RST)。最后一种办法是禁止发送 closed port RST 回应:
net.inet.tcp.blackhole=1 net.inet.udp.blackhole=1
这种方法会削弱多数负载均衡设备的探测能力。
请根据实际情况进行适当的配置。
诊断:这种现象需要分情况讨论。如果你的服务很繁忙,并且看到的是 open port RST,这种情况必须重视,因为它显示你的服务响应能力不足。如果是closed port RST,说明有人在尝试扫描你的端口,或者某个被人经常访问的服务死掉了。对于前一种情况,假如感觉这种提示很烦,可以考虑用下列配置:
net.inet.icmp.icmplim_output=0
来禁止输出,然而这可能不是一个好主意;另一个办法是提高limit:
net.inet.icmp.icmplim=1000
这同样不是一个好主意,因为它可能造成杠杆式 DoS(通过伪造源 IP 地址来让你的服务器互相发 RST)。最后一种办法是禁止发送 closed port RST 回应:
net.inet.tcp.blackhole=1 net.inet.udp.blackhole=1
这种方法会削弱多数负载均衡设备的探测能力。
请根据实际情况进行适当的配置。