我的服务器正在被攻击(SYN洪水攻击),而我在/var/log/messages看到的是很多:
r8169: eth0: link up r8169: eth0: link up r8169: eth0: link up
1.这是什么意思?
在攻击过程中我无法访问服务器,但在洪水停止后我也无法访问它,我必须重新启动服务器。
2.是否有可能避免这种重新启动? 是否有可能“自动设置”连接,而无需手动重新启动服务器?
附加信息:Ubuntu服务器10.04 64位8GB RAM,双核心。 防火墙:CSF(IPTables)
针对端口80(apache2)的SYN洪水攻击,stream量高达50-70Mbps
编辑 :@TimHaegele是正确的,这是一个驱动程序的问题,一旦Ubuntu升级的问题消失了。
你有没有尝试过一个新的NIC驱动程序?
您的内核很可能在NIC的包含模块中存在一个错误。 因为构build一个新的kernelmodul非常简单,所以我build议尝试一下:
这是一个很好的教程:
http://ubuntuforums.org/showthread.php?t=1022411
从10.04版本开始,我经历了一次类似的bug,从realtek得到了驱动程序的修复。
如果您采取了正确的措施,即使发生攻击,您的服务器也应该可以访问。
看看你的/etc/sysctl.conf
并添加以下内容
# TCP SYN Flood Protection net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 3
此外,你使用本地DNS或外部DNS? 如果它是内部DNS,那么你可能想尝试一个外部的DNS,如8.8.8.8 8.8.4.4,看看是否发生之后。
似乎很奇怪,你会继续得到这些攻击,我运行了许多VPS,几乎没有看到他们:P