我有一个邮件服务器,Debian Linux 2.4.31,它正在丢弃TCP连接,基本上不可用。 我有iptables运行它,它的几乎非常严格。
当我运行“netstat -tanp | wc -l”时,我得到了366,而“cat / proc / net / ip_conntrack | wc -l”给了我124172,因为我增加了/ proc / sys / net / ipv4 / ip_conntrack_max, “ip_conntrack:表满,丢包”。 在dmesg输出,是的,我仍然看到这些,虽然我确实增加了最大值。
我会/应该启用TCP SYN cookies,但由于一些奇怪的原因,内核编译没有它,所以我不能前进,没有重新编译它。
我只是想知道,如果这些症状描述了一个DDOS,所以我会前进添加tcp_syn_cookies。
谢谢。
要真正知道的唯一方法是检查stream量。在一段时间内使用tcpdump从外部接口接口进行networking捕获。
tcpdump -s 1500 -w <filename>.pcap -i <interface>
当你认为你已经捕获了足够的数据的时候。 然后最好将pcap文件复制到带有GUI的机器上,并用Wireshark进行检查。
这应该能够给你一个好下一步从哪里开始的想法。 有可能你没有处理DDOS,但可能会有大量的垃圾邮件或端口扫描。
netstat -antp连接的状态是什么?
我想你有连接莫名其妙卡住,直到一个RST数据包发送时,如果你之间有一个片状networking,并访问您的服务器的客户端,它可以导致某些数据包被丢弃,您的表将被填满。
最好检查一下条目,并试图找出未正确closures连接的模式。
它也可能发生,因为你的网卡坏了某种方式。