possible SYN flooding on port 80
うちのとあるサーバが一時的にApacheが「だんまり」になることがあって、いろいろ試した結果、
/proc/sys/net/ipv4/tcp_syncookiesに1を立ててみたところ「だんまり」になるのは押さえられた。
(少なくても今のところ)
昨日syncookiesを立てたマシンにさっそく
possible SYN flooding on port 80
が記録されている。
しかし、この前に記録されている
TCP: Treason uncloaked! Peer 210.143.XXX.XXX:25432/80 shrinks window 3129198689:3129208179. Repaired.
などをしらべると、buggyなクライアントがいるぐらい、というところだろうなと思う。
ただ、一部buggyなクライアント(回線が重いだけ?)のためにサーバが一時だんまりになったりするということは考えられるのでsyncookiesを立てたのは正解だったのではないかと考えている。
このsyncookiesはただ闇雲に立てればいいわけではなく、クライアント(メールなど)になるマシンは要注意。
そのサーバが攻撃しているように、相手のファイヤーウォールに検知されてしまったりします。
/proc/sys/net/ipv4/tcp_max_syn_backlog /proc/sys/net/core/tcp_rmem
このあたりの数字をいじるというのもありそうだけど、
しばらくは、このままかな。ApacheのMaxClientsに達することは、「だんまり」になるとき以外ないし。
参考
@IT /procによるLinuxチューニング
[後編]