TCP: drop open request -> utok nebo spatna konfigurace jadra
Jirka Kosina
jikos na jikos.cz
Čtvrtek Červen 20 11:44:57 CEST 2002
On Thu, 20 Jun 2002, bruno maglajz wrote:
> vcera se mi malem zadrel cely linuxovy server, apache procesy byly
> neuveritelne premnozene a load average slo pres 85.
> Zadny proces ale nezabiral vyrazne mnoho pameti ani CPU, proste jich
> tam jen bylo hodne (urcite pres 100) a jedine co jsem zachytil, co by
> mohlo indikovat zdroj problemu je tato kernelova hlaska:
> TCP: drop open request from 217.11.254.43/17386
> TCP: drop open request from 217.11.254.43/19054
> TCP: drop open request from 217.11.254.43/19056
> NET: 18 messages suppressed.
> TCP: drop open request from 217.11.254.43/19110
> ..bylo jich tech samych mnohem vic
> pote, co jsem vsecny procesy apache pozabijel, chvili pockal a znovu
> ho nahodil, system pookoral a nyni jede zase OK. Bojim ale nejsem
> schopny zjistit, co se vlastne delo. Nejedna se nahodou o utok?
Znamena to, ze TCP SYN backglog v kernelu je preplneny. Takze bude se Vas
nekdo pokousi SYN floodovat, nebo mate prilis mnoho prilis pomalych
klientu (za pravdepodobnejsi povazuji prvni verzi).
Toto cislo se da nastavit v /proc/sys/net/ipv4/tcp_max_syn_backlog,
pripadne si zkuste povolit syncookies (echo 1
> /proc/sys/net/ipv4/tcp_syncookies).
A taky by mnohe mohl napovedet pohled do logu apache, jake v tu dobu
chodily requesty.
--
JiKos.
Další informace o konferenci Linux