Настройка сервера под высокую нагрузку

А что вы сделали для того, чтобы понять?

Пока они не начинают работать - причины нет. Речь вообще шла о том, почему они не включены по-умолчанию. Если бы были - куки срабатывали бы для легитимных клиентов почти наверняка.

единственная причина, достаточно серьезная, надо отметить - при работающих син-куках возможна ситуация когда некоторые сервисы могут просто повесится. Если объяснять на пальцах, то это сервисы наподобии SMTP протокола, т.е. когда после установления соединения клиент ждет данные от сервера и только после этого продолжает общение. Вот при включенных син-куках этого ответа можно вообще недождаться. Поэтому если сервер у вас работает как mail relay (т.е. фактически выступает как SMTP-клиент), то он может просто встать. А дальше уже зависит от конкретной реализации relay, заложены в него выходы по таймауту или нет.

Если у вас просто веб-сервер (т.е. HTTP протокол), то включение син-куков пойдет только на пользу.

Как работает TCP/IP и синкуки я понимаю хорошо.

Я написал, что не понял аргументов почему синкуки нужно отключать.

Ведь начинает работать механизм синкуки, только при заполнении очереди соединений, а пока очередь не заполнена, то синкуки не используются, даже если в ядре они включены.

Я проводил эксперимент:

Ддосил синфлудом свой WEB - сервер с интенсивностью 6000 пакетов в секунду с фальшивым IP отправителя.

Результат эксперимента был такой.

С включенными синкуками сервер работет нормально.

Как только синкуки выключить, то новые пользователи уже не могут подключиться.

---------- Добавлено 03.02.2012 в 10:27 ----------

Три раза прочитал, но так и не понял ход ваших мыслей в этой фразе.

Ну вот вас и спросили: что вы сделали для того, чтобы понять? Что прочитали из того, что процитировали выше?

Очередь забита синфлудом: клиент шлет syn повторно, а его опять дропают.

Иногда думать помогает, не пробовали? Ход мыслей очень простой: включите синкуки, не трогая другие настройки tcp-стека (оставив умолчания) - и вы моментально получите SYN flooding on port .. Sending cookies. Нет способа включить синкуки и избежать их срабатывания для легитимных клиентов. А что может быть плохого при таких срабатываниях - пробовали объяснять гораздо выше по треду, посмотрите ссылки.

Вы до сих по не осилили даже элементарный текст из вики полностью. Не фантазируйте - переведите его правильно.

аргументируйте.

пока что от вас один флуд идет.

Сколько можно. Прочитайте, наконец, раздел Drawbacks в вики и найдите отличия с тем, что вы понаписали. Там, в частности, рассказано правильно о том, что вы пытались "изобразить" на пальцах.

Вы упомянули почти все ключевые моменты, но упустили суть.

очередной флуд а не ответ.

можно столько, сколько нужно. я уже устал от вас слышать одно и то же. все ваши посты сводятся к одной фразе "почитайте google/wiki/man". не потому ли что сами вы объяснить не можете?

поэтому еще раз - аргументируйте. или вам не знакомо значение этого слова?

Вот zexis будет интересен ответ, ему расскажу. А для вас возможен только платный ликбез - способности учиться самостоятельно вы пока не продемонстрировали.

ха-ха.

стандартный говно-ответ от вас "я ВСЕ знаю, но никому не скажу. патаму што я да-ртанян!"

ню-ню.

Пока у меня есть льготы, воспользуюсь.

Сейчас у меня включены синкуки и увеличена длина очереди полуоткрытых соединений.

echo '1'>/proc/sys/net/ipv4/tcp_syncookies

echo '4096' >/proc/sys/net/ipv4/tcp_max_syn_backlog

Сервер высоконагруженный.

В сутки 3 миллиона запросов к динамическим файлам PHP и 10 миллионов к статике.

Сообщений в логах

SYN flooding on port .. Sending cookies

нет.

Хотя до увеличения длины очереди небольшой количество этих сообщений было.

Раз в 1-2 месяца бывают не большие атаки, которые отбиваются программными настройками сервера.

Вопросы.

1) Какие минусы есть в этой ситуации от того что включены синкуки?

2) Имеет ли смысл их отключать?