linux syn_recv过多ip,linux – 尽管SYN_RECV连接数很少,但在日志中“可能发生SYN泛滥”...

最新推荐文章于 2023-04-18 16:56:02 发布
最新推荐文章于 2023-04-18 16:56:02 发布
阅读量318 收藏 1
点赞数
文章标签: linux syn_recv过多ip

最近我们有一个apache服务器,由于SYN泛滥而响应非常慢.解决方法是启用tcp_syncookies(/etc/sysctl.conf中的net.ipv4.tcp_syncookies = 1).

如果你想要更多背景,我发布了一个关于这here的问题.

启用syncookies后,我们开始大约每60秒在/ var / log / messages中看到以下消息:

[84440.731929]可能在端口80上发生SYN泛洪.发送cookie.

Vinko Vrsalovic告诉我,这意味着syn backlog已经满了,所以我将tcp_max_syn_backlog提升到4096.在某些时候,我还通过发出sysctl -w net.ipv4.tcp_synack_retries = 3将tcp_synack_retries降低到3(从默认值5下调). .在这样做之后,频率似乎下降,消息的间隔在大约60到180秒之间变化.

接下来我发出了sysctl -w net.ipv4.tcp_max_syn_backlog = 65536,但仍然在日志中收到消息.

在这一切中,我一直在观察SYN_RECV状态下的连接数(通过运行watch –interval = 5’netstat -tuna | grep“SYN_RECV”| wc -l’),它永远不会超过240左右,很多远远低于积压的大小.然而,我有一个徘徊在512左右的Red Hat服务器(此服务器的限制是1024的默认值).

是否有任何其他tcp设置会限制积压的大小,还是我咆哮错误的树? netstat -tuna中SYN_RECV连接的数量是否与积压的大小相关?

更新

最好的我可以告诉我我在这里处理合法连接,netstat -tuna | wc -l徘徊在5000左右.我今天一直在研究这个问题,并从last.fm员工那里找到了this post,这对我来说非常有用.

我还发现启用syncookies时tcp_max_syn_backlog没有效果(根据this link)

因此,作为下一步,我在sysctl.conf中设置以下内容:

net.ipv4.tcp_syn_retries = 3

# default=5

net.ipv4.tcp_synack_retries = 3

# default=5

net.ipv4.tcp_max_syn_backlog = 65536

# default=1024

net.core.wmem_max = 8388608

# default=124928

net.core.rmem_max = 8388608

# default=131071

net.core.somaxconn = 512

# default = 128

net.core.optmem_max = 81920

# default = 20480

然后我设置我的响应时间测试,通过sysctl -w net.ipv4.tcp_syncookies = 0运行sysctl -p和禁用syncookies.

执行此操作后,SYN_RECV状态下的连接数仍然保持在220-250左右,但连接开始再次延迟.一旦我注意到这些延迟,我重新启用了syncookies并且延迟停止了.

我相信我所看到的仍然是从最初的状态改善,但是有些请求仍然被延迟,这比启用syncookies要糟糕得多.所以看起来我已经坚持使用它们,直到我们可以在线获得更多服务器来应对负载.即便如此,我也不确定我是否有理由再次禁用它们,因为它们仅在服务器的缓冲区满时发送(显然).

但在SYN_RECV状态下,只有~250个连接似乎没有完整的syn积压! SYN flooding消息是否可能是一个红色的鲱鱼,而且它不是正在填充的syn_backlog?

如果有人有任何其他调整选项,我还没有尝试过,我会非常乐意尝试它们,但我开始怀疑syn_backlog设置是否由于某种原因没有正确应用.

Evo Lee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux syn_recv过多ip,SYN_RECV处理方案
weixin_29204205的博客
05-06 1004
简介SYN_RECV是指,服务端被动打开后,接收到了客户端的SYN并且发送了ACK时的状态。再进一步接收到客户端的ACK就进入ESTABLISHED状态。TCP SYN Flood是一种常见,而且有效的远端(远程)拒绝服务(Denial of Service)***方式,它透过一定的操作破坏TCP三次握手建立正常连接,占用并耗费系统资源,使得提供TCP服务的主机系统无法正常工作。由于TCP SYN...
TCP三次握手过程的半连接和全连接
dinghuiyang的博客
09-13 2533
accept过程: 当server端主动调用accept时,会将该client从半连接状态队列转入到全连接状态队列,并生成该client的fd,此后server通过该fd与client进行会话。之后 如果client不断去重新发出连接请求,最终server端的半连接状态队列将满(大小有listen接口设置),连接状态处于SYN_RECV状态(通过netstat 命令可以看到 Recv-Q已达到连接个数上限和连接状态)对于server端来说,
TCP SYNC_RECV 状态连接数过多如何处理
Bertram的博客
04-18 1109
TCP SYNC_RECV 状态连接数过多如何处理
Linux tcp连接状态之SYNC_RECV
zheng的博客
05-17 4577
1、按tcp/ip协议的描述,tcp三次握手过程,tcp的状态迁移如下所示: 1)、客户端通过connect系统调用向处于LISTEN状态的服务端发送sync请求,客户端进入SYNC_SEND状态; 2)、服务端收到sync报文后,向客户端发送sync+ack报文,服务端进入SYNC_RECV状态; 3)、客户端收到sync+ack后,进入ESTABLISHED状态,并向服务端发送ack,服务端接收到ack后,进入ESTABLISHED状态。 (sys_connect)
[转]惊现狂多的SYN_RECV,服务器巨慢,流量或者很高
风过无声
11-08 1597
from: http://hi.baidu.com/wuyuhua_2000/blog/item/9892d2dfe3f0dd1863279883.html from:http://hi.baidu.com/youth402/blog/item/94a058cb483063fa53664f0a.html 标题为什么提到"流量或者很高"呢?,因为真正访问量很大的时候
linuxnetstatus查看SYN_RECV.docx
09-26
linuxnetstatus查看SYN_RECV.docx
关于网站的SYN_RECV攻击的防范措施.txt
11-02
编写bash脚本进行防范(方法是统计同一个IP的状态包并处理)
Linux netstat命令查看并发连接数的方法
01-20
并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能...
操作系统安全:防syn 攻击优化配置.docx
06-02
 在TCP/IP协议TCP协议提供可靠的连接服务,采用三次握手建立一个连接。  第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;  第二次握手:服务器收到syn包,...
netstat查看linux服务器网络连接状态.docx
02-07
"netstat 命令在 Linux 服务器网络连接状态查看的应用" Netstat 命令是一个功能强大且广泛使用的网络命令行工具,能够显示网络连接、路由表和网络接口信息。通过使用 Netstat 命令,系统管理员可以实时查看 Linux...
linux诡异的半连接(SYN_RECV)队列长度
李志涛的专栏
07-17 2035
http://www.piao2010.com/linux%E8%AF%A1%E5%BC%82%E7%9A%84%E5%8D%8A%E8%BF%9E%E6%8E%A5syn_recv%E9%98%9F%E5%88%97%E9%95%BF%E5%BA%A6%E4%B8%80 最近在学习TCP方面的基础知识,对于古老的SYN Flood也有了更多认识。SYN Flood利用的是TCP
linux系统收到SYN但不回SYN+ACK问题排查
weixin_34309435的博客
08-08 3042
一,背景:今天下午发现线上的一台机器从办公网登录不上且所有tcp端口都telnet不通,但是通过同机房的其它机器却可以正常访问到出问题的机器。于是就立即在这台出问题的server端抓包分析,发现问题如下:server端收到了本地pc发的SYN包,但是没有回syn+ack包,所以确认是server端系统问题。tcpdump抓包如下:二,排查1,发现系统没有任何负载2,网卡也没有...
Linux连接状态为syn_recv,搭建LVS负载均衡环境,出现SYN_RECV状态的处理
weixin_42511206的博客
05-13 1156
第一次搭建LVS+KEEPALIVED环境时挺顺利的,过一段时间后重新搭建此环境时居然出问题,不管怎么配置修改参数,客户端总是连接不上realserver,通过ipvsadm -lc查看,结果如下:CP 00:54 SYN_RECV h100:12949 192.168.4.200:5678 h104:5678通过艰难的对比,查找资料,终于找到了问题的原因,在此鄙视一下百度,找出来的资源一点用都没...
SYN_RECV 攻击解决办法
maque0312的技术博客
09-08 2823
节选自:http://baike.baidu.com/view/1520054.htm 判断服务器是否遭受SYN_RECV攻击:  一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。   1、 服务端无法提供正常的TCP服务
linux syn_recv过多ip,linux预防SYN_RECV
weixin_28844235的博客
05-06 378
攻击的形式多种多样,我们这里只介绍最为常见的,遇到攻击的不要着急,小量的SYN_RECV很容易防止的1.对于大量的 SYN_RECV若怀疑是SYN Flood攻击,有以下建议:这个攻击的解决方法如下:1,增加未完成连接队列(q0)的最大长度。echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog2, 启动SYN_cookie。echo 1>/p...
linux自动屏蔽IP地址工具(转:http://hi.baidu.com/77941/blog/item/662e5b43c56803149313c6d2.html)
fjfdszj的专栏
11-17 1438
linux自动屏蔽IP地址工具2008年06月16日 星期一 下午 12:21<br />当服务器遭受SYN_RECV攻击时,也许下边的小工具Firewall.sh能派上用场。<br />内容如下:<br />====================================================================<br />#!/bin/sh<br /># this program is used to check tcp/ip connections<br /># and
抓包分析LVS-NAT出现的SYN_RECV
weixin_30347009的博客
05-22 1112
CIP:192.168.10.193 VIP:192.168.10.152:8000 DIP:100.10.8.152:8000 RIP:100.10.8.101:8000 和100.10.8.102:8000 从CIP到RIPTCP连接,总是超时。 在Director上看到,lvs已经把来着client的消息转发,但状态是SYN_RECV =================...
Linux 防御SYN_RECV
weixin_34254823的博客
07-21 299
1、查看连接状态netstat-nat|awk'/^tcp/{++S[$NF]}END{for(ainS)printa,S[a]}'2、防御措施vi/etc/sysctl.conf添加net.ipv4.tcp_syncookies=1net.ipv4.tcp_synack_retries=2net.ipv4.tcp_syn_retries=2s...
大量SYN_RECV连接,而导致业务出现短暂不可用的解决方法分享(转)
weixin_33817333的博客
08-13 451
为什么80%的码农都做不了架构师?>>> ...
linux syn_recv
最新发布
05-25
SYN_RECVLinux 内核 TCP 协议栈的一个状态,表示当前 TCP 连接正在等待完成三次握手过程的第二步:接收到 SYN 包后发送 SYN-ACK 包给客户端。在这个状态下,内核通过等待客户端回复 ACK 包来完成三次握手,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值