Мой сервер подвергается атаке (атака SYN flood), и что я вижу в /var/log/messages это тонна:
r8169: eth0: link up
r8169: eth0: link up
r8169: eth0: link up
1. Что это значит?
Я не могу получить доступ к серверу во время атаки, но я также не могу получить к нему доступ после остановки флуда, мне нужно перезапустить сервер.
2. Можно ли этого избежать? Можно ли «автосбросить» соединение без перезапуска сервера вручную?
Дополнительная информация: Сервер Ubuntu 10.04 64 бита 8 ГБ ОЗУ, двухъядерный. Брандмауэр: CSF (IPTables)
Атака SYN flood на порт 80 (apache2) с трафиком до 50-70 Мбит / с
РЕДАКТИРОВАТЬ: @TimHaegele был прав, это проблема с драйвером, после обновления Ubuntu проблема исчезла.
вы пробовали новый драйвер для сетевой карты?
Очень вероятно, что ваше ядро страдает ошибкой во включенном модуле для сетевой карты. Поскольку создать новый модуль ядра для вашей компании очень просто, я рекомендую его попробовать:
Вот хороший учебник:
http://ubuntuforums.org/showthread.php?t=1022411
Я столкнулся с аналогичной ошибкой с встроенным ядром из 10.04 еще раз, и исправил ее с помощью драйвера от Realtek.
Ваш сервер должен быть доступен даже после атаки, если у вас есть правильные меры.
Взгляните на свой /etc/sysctl.conf
И добавьте следующее
# TCP SYN Flood Protection
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
Кроме того, вы используете локальный или внешний DNS? Если это внутренний DNS, вы можете попробовать внешний DNS, например 8.8.8.8 8.8.4.4, и посмотреть, произойдет ли это после.
Кажется странным, что вы продолжаете получать эти атаки, я использую много VPS и почти никогда их не вижу: P