Назад | Перейти на главную страницу

Много TCP: переполнение таблицы ведра ожидания времени в CentOS 6

у нас есть следующий вывод из dmesg:

__ratelimit: 33491 callbacks suppressed
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow

Также у нас есть следующая настройка:

cat /proc/sys/net/ipv4/tcp_max_tw_buckets
524288

Мы подвергаемся какой-то атаке, но не смогли определить, в чем причина этой проблемы?

Я бы также использовал tcpdump и немного понюхал интерфейс, чтобы посмотреть, что там происходит. Там вы сможете увидеть, что на самом деле происходит и что вас ждет.

Вот также краткое объяснение, как это работает, на случай, если вы не использовали его раньше:

http://openmaniak.com/tcpdump.php

Попробуйте использовать следующие команды, чтобы определить, много ли у вас подключений с одного адреса или вы находитесь под распределенной атакой.

netstat -nt | cut -c 40- | cut -d: -f1 | sort | uniq -c | sort -n
netstat -nt | cut -d: -f2 | sort | uniq -c | sort -n

Если у вас большие числа с нескольких IP-адресов, будет легче ограничить соединения. Затем вы можете добавить правила отказа или правила ограничения скорости в iptables для ограничения доступа с этих адресов.

Если вы подвергаетесь атаке, вы можете привлечь своего интернет-провайдера, поскольку он может ограничить соединения, прежде чем они достигнут вас.