Форум Работа и услуги для вебмастера Администрирование серверов и сайтов

Кто поможет справиться с SYN flood?

M
На сайте с 22.02.2007
Offline
161
maxttor
3304

Началось с большого времени генерации страницы, потом посыпались 502 ошибки.

В логах nginx было куча записей: 


2011/03/10 18:07:17 [error] 18076#0: *20769917 connect() to unix:/tmp/php-fpm.sock failed (11: Resource temporarily unavailable) while connecting to upstream, client: 65.52.110.45, server: katushka.net, request: "GET /torrents/?search=&sorting=0&type_sort=desc&page=7 HTTP/1.1", upstream: "fastcgi://unix:/tmp/php-fpm.sock:", host: "katushka.net"

Гуглил, советовали изменить сокет на tcp у php-fpm. Изменил, проблема не решилась.

Обратился к системному администратору, который часто мне помогает с настройкой сервера, он мне указал на записи в dmesg, там было куча записей: 


possible SYN flooding on port 7717. Sending cookies.

и 


nf_conntrack: table full, dropping packet.

Сказал, что скорей всего SYN flood.

Сделали: 


echo 1 > /proc/sys/net/ipv4/tcp_syncookies

sysctl -w net.ipv4.tcp_syncookies=1

echo "net.ipv4.tcp_syncookies=1" >>/etc/sysctl.conf

Проблема не решилась...

Кто может помочь в этой ситуации?

maxttor добавил 11.03.2011 в 09:14

После включения син кук вроде 502 ошибки сыпаться прекратились...

Но сайт по прежнему тупит.

Торрент Трекер Катушка - скачать фильмы (http://katushka.net) | SmartProgress - достижение целей (https://smartprogress.do/) Партнерская программа SmartProgress (https://smartprogress.do/affiliate)
AD
На сайте с 17.10.2010
Offline
3
anti_ddos
#1

Судя по всему атака комбинированная(syn flood+http flood), поэтому и бороться нужно с каждым типом атаки по своему. В сети полно статей на эту тему.

Для борьбы с syn flood можно почитать:

http://mtaalamu.ru/blog/93.html

Так как у вас судя по 502 ошибке используется фронт енд и скорее всего nginx, то для борьбы с http flood:

http://www.opennet.ru/base/sec/nginx_anti_dos.txt.html

I8
На сайте с 17.05.2010
Offline
99
iluxa85
#2

Добрый день.

Если проблема не решилась отпишите мне на почту iluxa85@inbox.ru постараюсь помочь фильльтрануть ваш трафик.

RAS
На сайте с 27.11.2005
Offline
126
RAS
#3

Если канал не забивают, то можем Вам помочь с решением проблемы Вашей.

Администрируем сервера, впс, вдс. Ускоряем загрузку сайтов - DLE, Word Press, Joomla, Modx... Настраиваем безопасность. Ручная чистка rootkit/malware/вирусов. (/ru/forum/867860) Разработка - shell/bash/sh/python/perl.
PU
На сайте с 18.03.2011
Offline
2
PentarhUdi
#4

Проблема похоже в этом: 

nf_conntrack: table full, dropping packet.

Посмотри какое значение в /proc/sys/net/ipv4/netfilter/ip_conntrack_max: 

cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max

И увеличь его вдвое, но не меньше 60000 

echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max

Ну если DDoS нормальный такой идет, то надо конечно комплексно решать.

ПС. могу помочь.

Администрирую серваки
I8
На сайте с 17.05.2010
Offline
99
iluxa85
#5

Все зависит от мощности ДДОСа.

Если DDOS слабый пишите на напочту фильтранем ваш трафик бесплатно.

Если что то серьезное то уже платно и можем предоставить решения на базе Cisco Guard.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий