apache服务器的问题

wd

1. 
   
2. 14:39:00.055063 IP 1.1.1.1.2110 > abc.com.http: S 2291834939:2291834939(0) win 65535 <mss 1452,nop,wscale 2,nop,nop,sackOK>
   
3. 14:39:00.055072 IP abc.com.http > 1.1.1.1.2110: S 3830471046:3830471046(0) ack 2291834940 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>
   
4. 14:39:00.198600 IP 1.1.1.1.2110 > abc.com.http: . ack 1 win 64251
   
5. 14:39:06.210273 IP 1.1.1.1.2138 > abc.com.http: S 1860230847:1860230847(0) win 65535 <mss 1452,nop,wscale 2,nop,nop,sackOK>
   
6. 14:39:06.210280 IP abc.com.http > 1.1.1.1.2138: S 3861191730:3861191730(0) ack 1860230848 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>
   
7. 14:39:06.287274 IP 1.1.1.1.2138 > abc.com.http: . ack 1 win 64251
   
8. 14:41:01.244034 IP abc.com.http > 1.1.1.1.2110: F 1:1(0) ack 1 win 1460
   
9. 14:41:01.307754 IP 1.1.1.1.2110 > abc.com.http: R 2291834940:2291834940(0) win 0
   
10. 14:41:08.246171 IP abc.com.http > 1.1.1.1.2138: F 1:1(0) ack 1 win 1460
    
11. 14:41:08.310153 IP 1.1.1.1.2138 > abc.com.http: R 1860230848:1860230848(0) win 0
    

复制代码

上面这段是我的apache server上面抓的tcpdump信息.服务提供的非常简单，就是一个php文件，代码就2，3行。所以请求完这个文件很快的，但是最近发现总是有些ip连接过来之后，要等到120s才会断开，所以抓包分析一下。

我分析的结果是，这个ip貌似连接过来之后，建立了tcp连接后，什么事情都没干。等了大概120秒之后，我的服务器发送了 F 给那个ip，那个ip给我返回了一个 R，我又发一个F，那个ip继续返回R。此后应该是apache进程就没了，所以没有后续信息了。

这是被攻击了么？这个很奇怪阿，SYN flood的话，应该是不会真正建立tcp连接的吧？

这个120秒，似乎是这个内核参数控制的吧？

net.ipv4.inet_peer_minttl = 120

可是我修改了之后，不起作用，郁闷。

hxq8866

修改apache的配置文件试试
把keepalive 打开试试

wd

原帖由 hxq8866 于 2008-7-10 14:47 发表
修改apache的配置文件试试
把keepalive 打开试试

我只提供一个文件的访问，是不是 keepalive 关闭比较合适呢？

wd

找到一个 TimeOut 参数，应该可以解决我的问题。