免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 SYN_RECV 问题,请教
最近访问板块 发新帖
查看: 1851 | 回复: 6
打印 上一主题 下一主题

SYN_RECV 问题,请教 [复制链接]

kozazyh

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-03-14 13:07 |只看该作者 |倒序浏览
今天发现机器的连接特别多(不知道是不是哪一个家伙在攻击我的服务器?,昨晚到现在一直是这个状态。):

#netstat -an |grep \:80 |more

tcp        0      0 202.111.*.*:80       222.247.132.14:1384     SYN_RECV
tcp        0      0 202.111.*.*:80       210.22.50.68:1394       SYN_RECV
tcp        0      0 202.111.*.*:80       124.147.165.172:1434    SYN_RECV
tcp        0      0 202.111.*.*:80       222.247.225.88:2076     SYN_RECV
tcp        0      0 202.111.*.*:80       222.240.32.236:1744     SYN_RECV
tcp        0      0 202.111.*.*:80       124.147.165.172:1442    SYN_RECV
tcp        0      0 202.111.*.*:80       118.255.8.27:1562       SYN_RECV
tcp        0      0 202.111.*.*:80       220.168.18.61:27463     SYN_RECV
tcp        0      0 202.111.*.*:80       118.249.54.48:4913      SYN_RECV
tcp        0      0 202.111.*.*:80       218.76.215.164:1025     SYN_RECV
tcp        0      0 202.111.*.*:80       222.242.184.66:53448    SYN_RECV
tcp        0      0 202.111.*.*:80       118.255.8.27:1563       SYN_RECV
tcp        0      0 202.111.*.*:80       124.228.34.156:25099    SYN_RECV
*
*
*
共:4万多条,


所以做了下面的设置:

设置了最大打开文件数
open files                      (-n) 65535

并设置:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog=2048
net.ipv4.tcp_synack_retries=1

这样就有新的问题:(TIME_WAIT 3万多条)
#netstat -an |grep \:80 |more

tcp        0      0 202.111.*.*::80       117.43.128.54:64573     TIME_WAIT
tcp        0      0 202.111.*.*::80       220.248.208.91:23763    TIME_WAIT
tcp        0      0 202.111.*.*::80       222.244.219.230:24937   TIME_WAIT
tcp        0      0 202.111.*.*::80       222.243.91.69:25421     TIME_WAIT
tcp        0      0 202.111.*.*::80       219.134.85.115:27648    TIME_WAIT
tcp        0      0 202.111.*.*::80       118.251.0.107:50736     TIME_WAIT
tcp        0      0 202.111.*.*::80       220.169.248.72:31673    TIME_WAIT
tcp        0      0 202.111.*.*::80       218.75.147.81:32553     TIME_WAIT

# netstat -an |grep TIME_WAIT |wc -l
32899

我猜 这些都是伪造的ip 过来的,怎样才能找到是哪个真实的ip在攻击我?

请问有什么好的办法解决?

[ 本帖最后由 kozazyh 于 2009-3-14 13:21 编辑 ]
marsaber

论坛徽章:
0
2 [报告]
发表于 2009-03-14 13:10 |只看该作者
http://soft.chinabyte.com/103/7753103.shtml
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
marsaber

论坛徽章:
0
3 [报告]
发表于 2009-03-14 13:13 |只看该作者
影响web访问不?
太多了,像被攻击了。
/proc/sys/net/ipv4/ip_conntrack_max是多大?增大点呢?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
kozazyh

论坛徽章:
0
4 [报告]
发表于 2009-03-14 13:17 |只看该作者

回复 #3 marsaber 的帖子

设置:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog=2048
net.ipv4.tcp_synack_retries=1

之后,web访问好了点,但是有时候会挂掉。
# cat /proc/sys/net/ipv4/ip_conntrack_max
1000000

,但是我感觉到 TIME_WAIT 好多,怎样才能去掉一些?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
llzqq

论坛徽章:
0
5 [报告]
发表于 2009-03-14 17:37 |只看该作者
想找攻击者,单靠自己几乎不可能,只有从互联网骨干路由器上分析网络流量进而跟踪才能找到是那个机器发出的攻击包,这只是找到了发起攻击的机器,要找到是那个人捣乱就更费劲些。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
kns1024wh

论坛徽章:
0
6 [报告]
发表于 2009-03-14 21:29 |只看该作者

回复 #1 kozazyh 的帖子

分析一下日志信息,看看到达服务器的请求具体是不是可以看到的数量一致,否则就是有可能出现攻击
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
marsaber

论坛徽章:
0
7 [报告]
发表于 2009-03-15 21:01 |只看该作者
拼设备、拼带宽!

大规模DDoS的话,除了等死,好像没其他办法。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP