[MASOCH-L] TCP: Possible SYN flooding on port 80

Rodrigo Fernandes rodrigo at vn.com.br
Thu Nov 24 08:48:40 BRST 2011


Pessoal,

Alguém sabe como desabilitar isso no kernel ?

[189843.375576] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.377378] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.377408] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.380405] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.385278] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.385304] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.385948] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.388757] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.388867] TCP: Possible SYN flooding on port 80. Dropping request.
[189843.388977] TCP: Possible SYN flooding on port 80. Dropping request.

Não quero que o kernel limite a quantidade de solicitações SYN.
Já fiz de tudo e não deu certo, já pesquisei e não encontro solução.

Minhas configurações do /etc/sysctl.conf estão:

# Disables packet forwarding
net.ipv4.ip_forward = 1
# Disables IP dynaddr
#net.ipv4.ip_dynaddr = 0
# Disable ECN
#net.ipv4.tcp_ecn = 0
# Enables source route verification
net.ipv4.conf.default.rp_filter = 0
# Enable reverse path
net.ipv4.conf.all.rp_filter = 0

# Conntrack Table
net.netfilter.nf_conntrack_max = 2097152

# tunning tcp stack

# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 30
# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1800
# Turn off the tcp_window_scaling
net.ipv4.tcp_window_scaling = 0
# Turn off the tcp_sack
net.ipv4.tcp_sack = 0
# Turn off the tcp_timestamps
net.ipv4.tcp_timestamps = 0


# Enable SYN cookies (yum!)
# http://cr.yp.to/syncookies.html
net.ipv4.tcp_syncookies = 0

-- 
Rodrigo Martins Fernandes
-- 


Em 07/11/2011 16:21, Durval Menezes escreveu:
> Prezado Rodrigo,
>
> O sysctl que voce indica abaixo de fato remove a protecao de syncookies.
>
> O que deve estar acontecendo e' que a sua aplicacao (no servidor) esta'
> recebendo um volume de conexoes superior ao tamanho da sua fila no socket
> (definido na chamada listen()) sem conseguir trata-las, ou entao voce
> esta' esgotando algum outro recurso do sistema (e neste caso, algo deveria
> estar sendo registrado pelo kernel nos logs).
>
> Uma outra opcao para aplicacoes com um volume tao grande de conexoes e'
> simplesmente a de trabalhar com protocolo UDP; o overhead e' bem menor e
> a possibilidade de "interferencia" do sistema operacional tambem. Por
> outro lado, sua aplicacao vai ter de tratar de situacoes como perda de
> pacotes, troca de ordem na chegada, etc.
>
> Um Grande Abraco,



More information about the masoch-l mailing list