у нас есть следующий вывод из dmesg:
__ratelimit: 33491 callbacks suppressed
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
Также у нас есть следующая настройка:
cat /proc/sys/net/ipv4/tcp_max_tw_buckets
524288
Мы подвергаемся какой-то атаке, но не смогли определить, в чем причина этой проблемы?
Я бы также использовал tcpdump и немного понюхал интерфейс, чтобы посмотреть, что там происходит. Там вы сможете увидеть, что на самом деле происходит и что вас ждет.
Вот также краткое объяснение, как это работает, на случай, если вы не использовали его раньше:
Попробуйте использовать следующие команды, чтобы определить, много ли у вас подключений с одного адреса или вы находитесь под распределенной атакой.
netstat -nt | cut -c 40- | cut -d: -f1 | sort | uniq -c | sort -n
netstat -nt | cut -d: -f2 | sort | uniq -c | sort -n
Если у вас большие числа с нескольких IP-адресов, будет легче ограничить соединения. Затем вы можете добавить правила отказа или правила ограничения скорости в iptables
для ограничения доступа с этих адресов.
Если вы подвергаетесь атаке, вы можете привлечь своего интернет-провайдера, поскольку он может ограничить соединения, прежде чем они достигнут вас.