今天,我一直在处理遭受类似 SYN 洪水攻击的服务器。让网站重新上线有点着急,所以我们做了这三个步骤来使服务恢复到可用状态。攻击期间服务器负载很低,所以它没有关闭服务器,只是让 HTTP 访问者超时。
现在我不相信这些解决了问题,但在洪水消退之前,它们确实解决了症状。
设置sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=5
将 Apache prefork ServerLimit和MaxClient增加到 512(从 256)。
将 Apache ListenBackLog设置为 1024
我看到网络上其他地方正在讨论各种 iptables --limit选项,但是我们得出结论,这些选项会限制合法流量,因为请求的网页的每个项目(每个图像等)都将计入此限制,从而阻止页面完全加载.
人们在这些情况下会做什么,我们的行动是否明智,因为负载不是问题?