Что означает «возможное наводнение SYN на порт 8009. Отправка файлов cookie» означает в/var/log/messages?

Question

У меня есть настройка веб-приложения apache + mod_jk + tomcat (разъем для mod_jk на порте 8009). Недавно мое приложение начало вешать несколько раз в день, а в/var/logs/messages есть записи, такие как «возможное наводнение SYN на порт 8009. Отправка файлов cookie» с 30-60 секундами. Я должен перезагружаться каждый раз, когда приложение зависает.

Это DDOS-атака? или ошибки системы/приложения могут вызвать эту проблему?

Любая помощь будет высоко оценена.

Спасибо.

Answer 1

Эта статья о tcp_syncookies может помочь вам в описании проблемы.

Кто-то или что-то отправляет SYN-пакеты в ваше приложение. Это может быть законный клиент, который не получает cookie ACK (работает ваше приложение?), Или это может быть кто-то злонамеренный (он распространяется или нет).

Answer 2

Во-первых, я имел взгляд на существующие правила

Iptables -L -v

Это показывает вам правила и политику по умолчанию, которые установлены в существующих цепях - вход, FORWARD и OUTPUT ,

Затем я последовал за эти быстрые шаги -

1. Создать новую цепочку и назовите его, скажем, DDOS_SYNFLOOD,

Iptables -N DDOS_SYNFLOOD

1. Добавить предел нет пакетов 15 в секунду с максимальным взрывом около 20, с использованием предельного модуля -

Iptables -A DDOS_SYNFLOOD -m предел --limit 15/второй --limit-взрыв 20 -j ACCEPT

Примечание: Другие единицы -/мин,/час, и/день

1. И Конечно, нам нужно будет отбрасывать пакеты, которые превышают указанные выше ограничения

Iptables -A DDOS_SYNFLOOD -j DROP

1. Теперь все, что осталось «прыгать» на это Новая цепь для входящих TCP SYN пакетов на порт 80.

IPtables -A ВХОД -p TCP --syn --dport HTTP -j DDOS_SYNFLOOD

И смотреть на то, что был создан -

iptables -L -v