У меня есть почтовый сервер Debian Linux 2.4.31, который сбрасывает TCP-соединения и в основном недоступен. У меня есть iptables, работающие на нем, и это в значительной степени очень ограничительно.
Когда я запускаю "netstat -tanp | wc -l", я получаю 366, а "cat / proc / net / ip_conntrack | wc -l" дает мне 124172, потому что я увеличил / proc / sys / net / ipv4 / ip_conntrack_max, чтобы увидеть «ip_conntrack: таблица заполнена, пакет отбрасывается». в выводе dmesg, и да, я все еще вижу их, хотя я увеличил макс.
Я бы / должен был включить файлы cookie tcp syn, но по какой-то странной причине ядро было скомпилировано без него, поэтому я не могу двигаться дальше, не перекомпилировав его.
Я просто хотел знать, описывают ли эти симптомы DDOS, поэтому я бы добавил tcp_syn_cookies.
Спасибо.
Единственный способ узнать правду - это изучить входящий трафик. Выполните захват сети с помощью tcpdump из внешнего интерфейса в течение определенного периода времени.
tcpdump -s 1500 -w <filename>.pcap -i <interface>
^ C это когда вы думаете, что собрали достаточно данных. Затем в идеале скопируйте файл pcap на машину с графическим интерфейсом и проверьте с помощью Wireshark.
Это должно дать вам хорошее представление о том, с чего начать дальше. Скорее всего, вы имеете дело не с DDOS как таковым, а с большим количеством спама или сканированием портов.
Каково состояние соединений netstat -antp?
Я предполагаю, что у вас есть соединения, которые каким-то образом застряли, и записи остаются до тех пор, пока не будет отправлен пакет RST, если между вами и клиентами, имеющими доступ к вашему серверу, есть нестабильная сеть, это может привести к тому, что определенные пакеты будут отброшены, и ваша таблица будет заполнена.
Лучше проверить записи и попытаться выяснить, что является закономерностью для неправильно закрытых соединений.
Это также может произойти из-за того, что ваша сетевая карта каким-то образом сломана.