possible SYN flooding on port 80. Sending cookies

原創 lcw_202 2020-06-25 15:26
possible SYN flooding on port 80. Sending cookies
2010-07-30 13:45

#dmesg
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
… …
possible SYN flooding on port 80. Sending cookies

開了syncookie之後經常會看到這個報警信息“possible SYN flooding on port 80. Sending cookies”

如果看系統資源還沒問題的話,應該多數不是受到syn flood,而是併發連接過多,不過這個還是要看自己的應用。

文檔建議我們修改
tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow.

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 20480
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.core.netdev_max_backlog = 1000


  net.ipv4.tcp_syncookies = 1 表示開啓SYN Cookies。當出現SYN等待隊列溢出時,啓用cookies來處理,可防範少量SYN攻擊,默認爲0,表示關閉;
  net.ipv4.tcp_tw_reuse = 1 表示開啓重用。允許將TIME-WAIT sockets重新用於新的TCP連接,默認爲0,表示關閉;
  net.ipv4.tcp_tw_recycle = 1 表示開啓TCP連接中TIME-WAIT sockets的快速回收,默認爲0,表示關閉。很關鍵的一個參數
  net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求關閉,這個參數決定了它保持在FIN-WAIT-2狀態的時間。
  net.ipv4.tcp_keepalive_time = 1200 表示當keepalive起用的時候,TCP發送keepalive消息的頻度。缺省是2小時,改爲20分鐘。
  net.ipv4.ip_local_port_range = 1024 65000 表示用於向外連接的端口範圍。缺省情況下很小:32768到61000,改爲1024到65000。
  net.ipv4.tcp_max_syn_backlog = 8192 表示SYN隊列的長度,默認爲1024,加大隊列長度爲8192,可以容納更多等待連接的網絡連接數。
  net.ipv4.tcp_max_tw_buckets = 5000 表示系統同時保持TIME_WAIT套接字的最大數量,如果超過這個數字,TIME_WAIT套接字將立刻被清除並打印警告信息。默認爲180000,改爲5000。對於Apache、Nginx等服務器,上幾行的參數可以很好地減少TIME_WAIT套接字數量,但是對於Squid,效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量,避免Squid服務器被大量的TIME_WAIT套接字拖死。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

possible SYN flooding on port 7000. Sending cookies

 COOKIE MUELLER Cookie Mueller was an actress. She was born in 1939 and died in 1989. Research Cookie Mueller COOKIE

lcw_202 2020-06-25 15:26:00

Linux 三次握手圖

lcw_202 2020-02-20 23:46:44

tcp-ip Encapsulation

Each layer adds information to the data by prepending headers (and sometimes adding trailer information) to the data th

安静呆一会儿 2020-07-03 09:19:38

網絡模塊初始化-net( 網絡名字空間 )

[ include/net/net_namespace.h ] We want to make it look to user space like the kernel implements multiple network stac

安静呆一会儿 2020-07-03 09:19:38

tcp-ip Introduction

Networking protocols are normally developed in layers, with each layer responsible for a different facet of the communi

安静呆一会儿 2020-07-03 09:19:38

possible SYN flooding on port 7000. Sending cookies

 COOKIE MUELLER Cookie Mueller was an actress. She was born in 1939 and died in 1989. Research Cookie Mueller COOKIE

lcw_202 2020-06-25 15:26:00

(unix domain socket)使用udp發送>=128K的消息會報ENOBUFS的錯誤

1、Unix domain socket簡介 unix域協議並不是一個實際的協議族,而是在單個主機上執行客戶/服務器通信的一種方法,所用API於在不同主機上執行客戶/服務器通信所有的API(套接字API,如AF_INET、AF_INET6

WangMark 2020-06-25 06:58:52

setsockopt設置socket狀態

WangMark 2020-02-24 23:11:19

TCP 和 UDP 協議發送數據包的大小

WangMark 2020-02-24 23:11:09

Unix domain socket 的一些小結

WangMark 2020-02-24 23:11:09

網絡模塊初始化-packet_type

安静呆一会儿 2020-02-21 17:33:19

代碼

安静呆一会儿 2020-02-21 17:33:19

網絡模塊初始化-net成員

安静呆一会儿 2020-02-21 17:33:18

Linux 三次握手圖

lcw_202 2020-02-20 23:46:44

Linux網卡驅動程序編寫

collide 2020-02-20 23:45:19