Так как постоянно сталкиваюсь с такой проблемой могу дать несколько рекомендаций.
А вы можете выложить правила вашего фаервола?
1. Если там есть динамические правила - то такое падение вполне нормально,
тогда надо увеличить кол-во дин. правил net.inet.ip.fw.dyn_max.
2. sysctl net.inet.tcp.msl уменьшить время ожидания ответного пакета на запрос SYN-ACK
3. Включите sysctl net.inet.tcp.blackhole=2 чтоб система в ответ не слала RST пакет при должбежке на разные порты.
1. Ты видел что я где то мерил производительность роутера мегабитами?
2. А ты знаешь знаток, что в заголовках syn пакетов могут быть поддельные адреса или айпи жертвы?
3. И теперь представь такие нестандартные пакеты придут к тебе на роутер и он начнет отвечать SYN-ACK пакетом.
А теперь скажите мне друг чем отличается загрузка канала пакетами при син флуде или в нормальном режиме.
Ты сам показываешь свою неграмотность, так как в нормальном режиме когда нет сетевых аномалий и 3mpps это норма.
Твой уровень знаний по ддосу это включить сюнкуки в ядре линукса. Так что иди сам читай матчасть малыш и не лезь в разговоры по ддосу если слабо шаришь в этих делах.
Читай что пишут.
Здесь о флуде разговор идет,а не о нормальном трафике.
Загрузка канала при этом была порядка 100 мегабит из 1 гигабита.
А если это роутер на фре и он ложится от 1Mpps сина?
SniFFeRok, ты на Raistlin-а не обижайся - это троль, если с ним начать диалог эта тема привариться в кучу флуда.
А логи веб сервера можете выложить?
Очень похоже на сетевую проблему в ДЦ.
Думаю скоро все будет ок.
Вам решать.
Сказал я это из за того что периодически приходится защищать не оф. сайт одного полит. деятеля.
У атома проц слабый.
Почему вдс не подходит?
Могу предложить за 1300р VDS мощнее атома + ддос защита, а она будет вам нужна в силу того что сейчас сайты СМИ подвергаются ддос атакам.