ESTABLISHED 达到20000 。。。

frostmounre

问题是这样的1组服务器(F5集群) 在凌晨00：00 -- 00：03 分 突然的几乎瘫痪

以下信息全来自同一台服务器
1.  netstat 抓出的数值：
        00:00:47 CST 2008
TIME_WAIT 1078
CLOSE_WAIT 11
FIN_WAIT2 12
ESTABLISHED 19742
LISTEN 9

2. top - 00:01:02 **** ****  0 users,  load average: 2.72, 2.30, 1.82
Tasks: 131 total,   2 running, 129 sleeping,   0 stopped,   0 zombie
Cpu(s): 26.7%us,  5.0%sy,  0.0%ni, 54.7%id,  0.3%wa,  0.1%hi, 13.3%si,  0.0%st
Mem:   8179700k total,  4569980k used,  3609720k free,    59744k buffers
Swap:  1052216k total,        0k used,  1052216k free,  2661372k cached
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
  671 *****    16   0 1425m 134m  12m S   29  1.7   0:02.12 httpd
32527 *****  16   0 1439m 167m  19m S   25  2.1   0:12.81 httpd
  423  ****     17   0 1439m 159m  14m S   25  2.0   0:07.00 httpd
  343 *****    17   0 1445m 169m  17m S   23  2.1   0:08.14 httpd
32745 ***      16   0 1440m 160m  14m S   23  2.0   0:08.77 httpd
31781 ****     16   0 1451m 182m  22m S   22  2.3   0:34.98 httpd
32681 ****     16   0 1458m 178m  14m S   20  2.2   0:08.96 httpd
30524 ****     16   0 1451m 187m  25m S   19  2.3   1:28.22 httpd
  583 ******    16   0 1446m 158m  11m S   17  2.0   0:03.49 httpd

3、apache  access日志
grep 00:01 access_log.20081208 |wc -l
   5796   

2008-12-0* 00:00:56 211.139.146.138 ******* - "GET /?session=ODq2OL2SRR1OcYFcN2ODR HTTP/1.0" 200 12291 "-" "-" 211.139.146.138.1228751677474752 10
2008-12-0* 00:00:57 211.139.146.107 ******* - "GET /?session=ssNJrKR7Zk7cRcZsKkN5Kk&r=1 HTTP/1.1" 200 12356 "-" "-" 211.139.146.107.1228752057628257 10
2008-12-0* 00:00:58 211.139.146.107 ******* - "GET /?session=NDODRRpScqWSS1cNqRWc1Y HTTP/1.1" 200 12353 "-" "-" 211.139.146.107.1228752058507192 10
2008-12-0* 00:00:54 211.139.146.107 ******* - "GET /?session=6b6hXq7cTLtWqccTR6TQ7T HTTP/1.1" 200 12365 "-" "-" 211.139.146.107.1228752054286701 15
2008-12-0* 00:00:59 211.139.146.107 ******* - "GET /?session=ODDqYL1W2WSL2qYq21pR9 HTTP/1.1" 200 12285 "-" "-" 192.168.0.82.1228220400510145 10
2008-12-0* 00:00:55 211.139.146.180 ******* - "GET ?session=S4r5rYKrtrp5rSSYYPcHTA HTTP/1.1" 200 12360 "-" "-" 211.139.146.180.1228752055197836 15
2008-12-0* 00:00:55 211.139.146.180 ******* - "GET /?session=FDSLSfL9cpYYfRSfNFYOSN HTTP/1.1" 200 12357 "-" "-" 211.139.146.180.1228557954458289 15


4.硬件信息如下
Intel  Xeon  CPU           E5310  @ 1.60GHz  （*8）
MemTotal:      8179700 kB
网卡 1000M

怀疑是有人恶意攻击造成的，但分析了访问日志 IP 来源都正常 却都在那一时刻（00：00 -- 00：03）
的访问量都突然的增大到正常的2倍。。。请大伙帮帮忙一起分析下原因  谢谢

[ 本帖最后由 frostmounre 于 2008-12-10 10:07 编辑 ]

jerrywjl

是不是被人肉鸡了。

frostmounre

楼上的意思是有人控制 肉鸡 恶意攻击？吗

vermouth

那就快用防火墙做限制进行防御啊~

frostmounre

真晕。。。能給点分析吗？？？

kns1024wh

DDOS，你看看那些IP的真实性，还有你的服务器上的资源信息；
F5的应该不会这样脆弱呀

frostmounre

我想的有这种可能。。。可是分析出来的日志来源IP正常的，我没法确认是不是伪造IP，是否能给点提示？

守住每一天

麻烦楼主贴下日志及硬件信息。
你netstat  top 都是同一台机器的？

huzi1986

漂过。。。