Heel veel SYN_RECV - Linux en overige clients

vrijdag 11 november 2005 23:03

Acties:

Topicstarter

Mijn server gaat vandaag opeens heel traag.
Op de netstat-lijst zie ik heel veel van deze meldingen:

203.162.131.185:4645 SYN_RECV

Ga ik deze IP nou tracen of pingen, dan krijg ik geen response.

Enig idee hoe en wat dit is? is het een tarpitaanval of zo?

Ik zie namelijk in de syslog een hoop "treason uncloadked" meldingen.

En zo ja, wat doe ik er tegen?

[ Voor 7% gewijzigd door kmf op 11-11-2005 23:03 ]

One thing's certain: the iPad seriously increases toilet time.. tibber uitnodigingscode: bqufpqmp

vrijdag 11 november 2005 23:43

Acties:

_JGC_

Treason Uncloaked meldingen zijn het gevolg van een kernelbug die in 2.6.14 is opgelost. Het hoeft niet per se de andere host te zijn die foute dingen doet, linux doet ook wel eens foute dingen

Verder wat betreft SYN verbindingen: die krijg je meestal op elke uitgaande verbinding terug.

zaterdag 12 november 2005 16:44

Acties:

serkoon

mekker.

_JGC_ schreef op vrijdag 11 november 2005 @ 23:43:
Verder wat betreft SYN verbindingen: die krijg je meestal op elke uitgaande verbinding terug.

Nee, SYN_RECV betekent dat je een packet met de SYN-flag binnenkrijgt, oftewel: een nieuwe verbinding. Als dit er erg veel zijn, kan het maar zo een SYN-flood zijn. Syncookies aanzetten lost veel gezeik op

# sysctl net.ipv4.tcp_syncookies=1

Eventueel net.ipv4.tcp_synack_retries lager zetten (staat bij mij op 5, wat absurd hoog is, eigenlijk)