что означает " возможное затопление SYN на порту 8009. Отправка файлов cookie " означает in/var/log / messages?
У меня есть настройка веб-приложения apache+mod_jk+tomcat (коннектор для mod_jk на порту 8009). Недавно мое приложение начало зависать несколько раз в день, и в /var/logs/messages есть записи типа "возможно SYN flooding на порту 8009. Отправка печенья " с 30-60 секунд. Я должен перезапускать каждый раз, когда приложение зависает.
Это DDOS-атака ? или ошибки системы / приложения могут вызвать эту проблему ?
Любая помощь будет высоко оценена.
Спасибо.
2 ответа:
Эта статья о tcp_syncookies может помочь объяснить проблему.
Кто-то или что-то отправляет SYN-пакеты в ваше приложение. Это может быть законный клиент, который не получает файл cookie ACK (работает ли ваше приложение?), или это может быть кто-то недоброжелательный (распространяется он или нет).
Во-первых, я посмотрел на существующие правила
Iptables-L-v
Здесь показаны правила и политика по умолчанию, установленные в существующих цепочках-вход, прямая и выходная.
Затем я последовал этим быстрым шагам -
- создайте новую цепочку и назовите ее, скажем, DDOS_SYNFLOOD,
Iptables-N DDOS_SYNFLOOD
- добавьте предела нет.пакетов 15 в секунду с максимальным пакетом около 20, используя модуль предела -
В iptables -это DDOS_SYNFLOOD -м предел --предел 15/секунду-предел-взрыв 20 -й принять
Примечание: другие единицы измерения- / минута, /час и / День
- и, конечно, нам нужно будет отбросить пакеты, которые превышают указанное выше ограничение
Iptables-A DDOS_SYNFLOOD-j DROP
Теперь оставалось только "прыгнуть" в эту новую цепочку для входящих пакетов tcp syn на порту 80.
Iptables-A INPUT-p tcp-syn-dport http-j DDOS_SYNFLOOD
И посмотреть на то, что было настроено -
Iptables-L-v