我有一个 Web 应用程序设置 apache+mod_jk+tomcat(8009 端口上的 mod_jk 连接器)。最近我的应用程序开始每天挂起几次,并且在 /var/logs/messages 中有诸如“端口 8009 上可能的 SYN 泛洪。发送 cookie”之类的条目,时间为 30-60 秒。每次应用挂起时我都必须重新启动。
是DDOS攻击吗?或系统/应用程序错误会导致此问题?
任何帮助将不胜感激。
谢谢。
问问题
9055 次
2 回答
1
这篇关于tcp_syncookies的文章可能有助于解释这个问题。
某人或某物正在向您的应用程序发送 SYN 数据包。它可能是一个没有收到 ACK cookie 的合法客户端(您的应用程序是否正常工作?),或者它可能是恶意的人(它是否已分发)。
于 2010-11-13T21:12:57.320 回答
1
首先,我看看现有的规则
iptables -L -v
这向您显示了在现有链中设置的规则和默认策略 - INPUT、FORWARD 和 OUTPUT。
然后我按照这些快速步骤进行操作 -
- 创建一个新链并将其命名为 DDOS_SYNFLOOD,
iptables -N DDOS_SYNFLOOD
- 通过使用限制模块,将限制添加到每秒 15 个数据包,最大突发约为 20 -
iptables -A DDOS_SYNFLOOD -m limit --limit 15/second --limit-burst 20 -j ACCEPT
注意:其他单位 - /minute 、 /hour 和 /day
- 当然,我们需要丢弃超过上述限制的数据包
iptables -A DDOS_SYNFLOOD -j DROP
- 现在剩下的就是在端口 80 上“跳转”到这个新的链以接收 tcp syn 数据包。
iptables -A INPUT -p tcp --syn --dport http -j DDOS_SYNFLOOD
看看设置了什么——
iptables -L -v
于 2014-06-20T11:38:11.860 回答