1、客户的工作人员描述了最近论坛总是出现问题,问题的现象是不能通过IE访问网站。
当时通过telnet连接发现系统情况基本正常(CPU TOP、内存 TOP、进程 PS、端口 NETSTAT),但就是网页无法访问。
2、连到他们的服务器上(通过telnet),仍然通过top/ps/netstat命令检查系统状况。
通过top命令检查CPU空隙(idel)基本在99%,内存占用在500M左右(共2G),这种状况比较正常。
通过ps命令检查tomcat调用的JAVA进程也是存在的,这种状况也是比较正常。
通过netstat -an 命令检查时,不正常的情况出现了(有一些CLOSE_WAIT和ESTABLISHED这是正常),大概有60多个SYN_RECV状态存在,而且过了一会再去检查发现这种状态还在不断增加。
这时到网上去查了查,http://weblog.dalouis.com/archives/2004/09/ae_syn_recv_cae.html
在这个网址发现作者出现了和我这里很类似的情况也是网页无法访问,同时也有大量的SYN_RECV端口状态。
笔者描述这应该是一种称为 SYN Flood 的网络攻击(说白了就是经常说的拒绝访问攻击的一种)。
笔者的处理办法是通过修改限制WEB服务的并发连接数和iptables防火墙规则的办法来解决的,具体方法请参考上面的网址。