[MASOCH-L] TCP: Possible SYN flooding on port 80
Durval Menezes
durval at tmp.com.br
Mon Nov 7 16:21:25 BRST 2011
Prezado Rodrigo,
O sysctl que voce indica abaixo de fato remove a protecao de syncookies.
O que deve estar acontecendo e' que a sua aplicacao (no servidor) esta'
recebendo um volume de conexoes superior ao tamanho da sua fila no socket
(definido na chamada listen()) sem conseguir trata-las, ou entao voce
esta' esgotando algum outro recurso do sistema (e neste caso, algo deveria
estar sendo registrado pelo kernel nos logs).
Uma outra opcao para aplicacoes com um volume tao grande de conexoes e'
simplesmente a de trabalhar com protocolo UDP; o overhead e' bem menor e
a possibilidade de "interferencia" do sistema operacional tambem. Por
outro lado, sua aplicacao vai ter de tratar de situacoes como perda de
pacotes, troca de ordem na chegada, etc.
Um Grande Abraco,
--
Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
On Mon, Nov 07, 2011 at 03:04:59PM -0200, Rodrigo Fernandes wrote:
> Pessoal,
>
> Uso squid (tproxy) no gentoo linux com picos de 210 requisições por segundo.
> Tenho constantes mensagens no dmesg
>
> [141056.584696] TCP: Possible SYN flooding on port 80. Sending cookies.
> [141056.585360] TCP: Possible SYN flooding on port 80. Sending cookies.
> [141056.588102] TCP: Possible SYN flooding on port 80. Sending cookies.
>
> Já tentei de tudo um pouco.
>
> No /etc/sysctl.conf
>
> # http://cr.yp.to/syncookies.html
> net.ipv4.tcp_syncookies = 0
>
> Muda a mensagem, realmente desabilitada o syncookies, mas o kernel
> continua rejeitando conforme a quantidade de requisições.
>
> Outra tentativa:
>
> # Backlog queue size
> net.ipv4.tcp_max_syn_backlog = 32768
>
> Mas não resolveu.
>
> Sem dúvida é uma proteção importante, mas para a aplicação que estou
> utilizando, preciso desabilitar essa função de bloquear as requisições
> SYN que caracterizam ataques.
>
> Como posso fazer isso ?
>
> --
> Rodrigo Martins Fernandes
> Engenharia e Administração de Redes
> (44) 3521-8160
> VisãoNet Telecom
> --
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list