что означает "возможное переполнение SYN на порту 8009. Отправка файлов cookie" в / var / log / messages?

Question

У меня есть настройка веб-приложения apache + mod_jk + tomcat (разъем для mod_jk на порт 8009).Недавно мое приложение начинало зависать несколько раз в день, и в / var / logs / messages есть записи типа "возможное переполнение SYN на порту 8009. Отправка файлов cookie" за 30-60 секунд.Мне приходится перезапускать каждый раз, когда приложение зависает.

Это DDOS-атака?или системные ошибки / ошибки приложения могут вызвать эту проблему?

Любая помощь будет принята с благодарностью.

Спасибо.

Answer 1

Прежде всего, я посмотрел на существующие правила

iptables -L -v

Здесь показаны правила и политика по умолчанию, установленные в существующих цепочках - INPUT, FORWARD и OUTPUT.

Затем я последовал этим быстрым шагам -

1. Создайте новую цепочку и назовите ее, скажем, DDOS_SYNFLOOD,

iptables -N DDOS_SYNFLOOD

1. Добавьте ограничение на количество пакетов 15 в секунду с максимальным пакетом около 20, используя модуль ограничения -

iptables -A DDOS_SYNFLOOD -m предел --limit 15 / секунда --limit-burst 20 -j ПРИНЯТЬ

Примечание: другие единицы - / минута, / час и / день

1. И, конечно, нам нужно отбросить пакеты, которые превышают вышеуказанное ограничение

iptables -A DDOS_SYNFLOOD -j DROP

1. Теперь все, что осталось, - это «перейти» к этой новой цепочке для входящих пакетов синхронизации tcp на порт 80.

iptables -A INPUT -p tcp --syn --dport http -j DDOS_SYNFLOOD

И посмотреть, что было настроено -

iptables -L -v

Answer 2

Эта статья о tcp_syncookies может помочь объяснить проблему.

Кто-то или что-то отправляет пакеты SYN вашему приложению. Это может быть законный клиент, который не получает куки ACK (ваше приложение работает?), Или это может быть кто-то злой (распространяется или нет).