[MASOCH-L] TCP: Possible SYN flooding on port 80
Hamilton Vera
hamilton at theforce.com.br
Thu Nov 24 14:52:50 BRST 2011
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Em 24 de novembro de 2011 08:48, Rodrigo Fernandes <rodrigo at vn.com.br>escreveu:
> Pessoal,
>
> Alguém sabe como desabilitar isso no kernel ?
>
> [189843.375576] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.377378] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.377408] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.380405] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.385278] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.385304] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.385948] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.388757] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.388867] TCP: Possible SYN flooding on port 80. Dropping request.
> [189843.388977] TCP: Possible SYN flooding on port 80. Dropping request.
>
> Não quero que o kernel limite a quantidade de solicitações SYN.
> Já fiz de tudo e não deu certo, já pesquisei e não encontro solução.
>
> Minhas configurações do /etc/sysctl.conf estão:
>
> # Disables packet forwarding
> net.ipv4.ip_forward = 1
> # Disables IP dynaddr
> #net.ipv4.ip_dynaddr = 0
> # Disable ECN
> #net.ipv4.tcp_ecn = 0
> # Enables source route verification
> net.ipv4.conf.default.rp_**filter = 0
> # Enable reverse path
> net.ipv4.conf.all.rp_filter = 0
>
> # Conntrack Table
> net.netfilter.nf_conntrack_max = 2097152
>
> # tunning tcp stack
>
> # Decrease the time default value for tcp_fin_timeout connection
> net.ipv4.tcp_fin_timeout = 30
> # Decrease the time default value for tcp_keepalive_time connection
> net.ipv4.tcp_keepalive_time = 1800
> # Turn off the tcp_window_scaling
> net.ipv4.tcp_window_scaling = 0
> # Turn off the tcp_sack
> net.ipv4.tcp_sack = 0
> # Turn off the tcp_timestamps
> net.ipv4.tcp_timestamps = 0
>
>
> # Enable SYN cookies (yum!)
>
> # http://cr.yp.to/syncookies.**html <http://cr.yp.to/syncookies.html>
> net.ipv4.tcp_syncookies = 0
>
> --
> Rodrigo Martins Fernandes
> --
>
>
> Em 07/11/2011 16:21, Durval Menezes escreveu:
>
> Prezado Rodrigo,
>>
>> O sysctl que voce indica abaixo de fato remove a protecao de syncookies.
>>
>> O que deve estar acontecendo e' que a sua aplicacao (no servidor) esta'
>> recebendo um volume de conexoes superior ao tamanho da sua fila no socket
>> (definido na chamada listen()) sem conseguir trata-las, ou entao voce
>> esta' esgotando algum outro recurso do sistema (e neste caso, algo deveria
>> estar sendo registrado pelo kernel nos logs).
>>
>> Uma outra opcao para aplicacoes com um volume tao grande de conexoes e'
>> simplesmente a de trabalhar com protocolo UDP; o overhead e' bem menor e
>> a possibilidade de "interferencia" do sistema operacional tambem. Por
>> outro lado, sua aplicacao vai ter de tratar de situacoes como perda de
>> pacotes, troca de ordem na chegada, etc.
>>
>> Um Grande Abraco,
>>
>
> __
> masoch-l list
> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>
--
http://hvera.wordpress.com
More information about the masoch-l
mailing list