Я использую Debian 6 - 64-битную систему (ядро 2.6.32-5-amd64), и меня часто засыпают DDOS. Я настроил параметры сети под /etc/sysctl.conf чтобы не допустить переполнения любого параметра ядра. Хотя с большинством параметров все в порядке, но я начал наблюдать сообщения «nf_conntrack: table full» в ** / var / log / messages **, поэтому, чтобы преодолеть это, я добавил несколько дополнительных оптимизаций и увеличил параметры. Вот некоторые выводы из "sysctl -a",
net.netfilter.nf_conntrack_max = 256000
net.netfilter.nf_conntrack_count = 124
net.netfilter.nf_conntrack_buckets = 256000
net.netfilter.nf_conntrack_generic_timeout = 120
kernel.printk_ratelimit = 30
kernel.printk_ratelimit_burst = 200
Это позаботилось о сообщениях «nf_conntrack: table full» на некоторое время, но теперь я постоянно получаю следующие сообщения, и часто моя система перестает отвечать на запросы своей сети. Я вижу несколько "nf_conntrack: таблица заполнена"сообщения снова, а также спам"переполнение кеша dst",
http://paste.ubuntu.com/10748348/
Атака, которую я получаю, недостаточно высока, но злоумышленник непрерывно наводняет меня примерно 30k PPS в течение нескольких часов, что вызывает это.
Эти результаты также могут быть полезны,
grep . /proc/sys/net/ipv4/route/*
/proc/sys/net/ipv4/route/error_burst:1250
/proc/sys/net/ipv4/route/error_cost:250
/proc/sys/net/ipv4/route/gc_thresh:131072