Stat Image: http : //carzz.co/network.png 在EC2上运行一个小图片网站,没有太多的stream量可言(每天800个用户会话)。 在查看新创build的实例的EC2监控时,我发现Network In比Network Out高出很多。 我应该注意到数据库服务器是外部的。 所以我假设networkinginput数据由访问者浏览器信息/请求和数据库数据(微小logging集)组成。 传出数据显然是数据库查询,HTTP内容,站点文件和图像内容。 那么,传入的数据怎么会比传出的数据大呢? 我唯一的想法是一个DDOS的情况。 也许我非常不幸,并且分配了一个有针对性的弹性IP。
我们看到这里描述的问题 – http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html 简而言之,我们需要丢弃伪造数据包,例如使用SYN + FIN标志设置。 我可以通过添加rule- iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP 现在可以有更多的标志组合。 那么我应该添加所有这些还是有更好的方法来做到这一点?
这可能是一个普遍的TCP问题。 我可以在ESTABLISHED连接或TIME-WAIT状态的连接上接收TCP SYN数据包吗? 这可能吗?
我受到37.59.4.76的攻击。 它给我发送了大量的数据,这正在破坏我的数据空间。 我已经添加了iptables Chain num pkts bytes target prot opt in out source destination DENYIN 400 0 0 DROP all — !lo * 37.59.4.76 0.0.0.0/0 DENYOUT 216 0 0 DROP all — * !lo 0.0.0.0/0 37.59.4.76 PREROUTING 439 0 0 REDIRECT tcp — !lo * 37.59.4.76 0.0.0.0/0 multiport dports 80,2082,2095 redir ports 8888 PREROUTING 440 […]
当SSL必须在后端服务器上终止时,我们如何在HAProxy中实现会话粘性? 我们需要粘性,因为后端不能共享会话。 这是我的原始configuration: # SSL passthrough listen https_handler bind 1.2.3.4:443 mode tcp balance leastconn stick match src stick-table type ip size 200k expire 30m server s1 1.1.1.1:443 server s2 1.1.1.2:443 # haproxy logs (not sticking) 10.xx2:xxxxx [17/Dec/2014:19:29:41.396] fe BACKEND_Website/s1 37/0/1/3/41 200 8364 10.xx2:xxxxx [17/Dec/2014:19:29:41.456] fe BACKEND_Website/s1 36/0/1/1/39 200 9082 10.xx2:xxxxx [17/Dec/2014:19:29:41.456] fe BACKEND_Website/s2 35/0/1/3/39 200 […]
起初,我描述了我的局域网组织。 我有2个networking(schemehttp://take.ms/s3CSy ): 192.168.0.0 / 255.255.255.0,内部IP为192.168.0.1的路由器ASUS RT-N65U,没有NAT的静态外部IP:1.2.3.4。 路由器运行VPN PPTP服务器,VPN LAN IP范围172.16.0.0/255.255.255.0,VPN服务器IP 172.16.0.1,MTU / MRU 1300.我的笔记本电脑(笔记本电脑#1)现在在这个networking。 192.168.2.0 / 255.255.255.0,内部IP为192.168.2.1的路由器ZyXEL Keenetic 4G,NAT为10.0.0.1的dynamic外部IP。 连接所有客户端以交换Cisco sg200-26p。 在第二个局域网中,我有一台安装了Debian Linux和PPTP VPN客户端的networking服务器。 PPTP客户端连接到第一个局域网中的路由器,获得IP 172.16.0.11。 连接pptp客户端后立即添加两条路由: ip route add 172.16.0.0/24 dev ppp0 ip route add 192.168.0.0/24 dev ppp0 所以VPN客户端(Web服务器)上的路由表: root@system:~# ip route default via 192.168.2.1 dev eth0 1.2.3.4 via 192.168.2.1 dev eth0 src […]
我得到一个TCP连接与我的networking服务器工作真正的困难。 我认为这个问题可能与数据包的速度或sorting有关,因为连接似乎开始pipe理好了,然后在一段时间后失败。 我正在通过我编写的程序运行所有这些stream量,然后通过旧的SLIP协议通过串行线路运行。 我发现几乎没有关于如何使TCP连接SLOWER的信息,似乎像其他人都试图去其他方式。 如何限制一个tcp连接的速度? 我想我需要一次性拒绝双方试图发送的数量,以及他们决定重发的速度。 也没有人知道我可以如何降低Windows 7电脑上的窗口大小? (作为客户端试图连接到服务器),因为我认为这可能有助于减慢速度。 我已经尝试了所有的registry值,它们似乎没有效果,我closures了缩放和启发式,但仍然使用65500的窗口。 以下是一些来自客户端和服务器端的 Wireshark捕获。
在几分钟内,我收到了来自Google 74.125.133.188 IP地址的大约700万(!)个FIN-ACK数据包, 它完全阻止了我的桌面(!)机器上的networkingstream量。 同一networking上的其他机器没有遇到任何networking连接问题,所以我认为这个问题仅限于一台特定的机器。 它已经发生了几次,并在重新启动交换机时停止。 鉴于stream量的强度,它看起来不像应用程序问题(Chrome,Google Drive),那么我需要收集哪些信息才能找出造成这种情况的原因 ? 7885693 432.083148000 74.125.133.188 172.16.0.10 [TCP Retransmission] 5228→34565 [FIN, ACK] Seq=1 Ack=1 Win=358 Len=0 TSval=30554106 TSecr=62470 66 TCP UPDATE Wireshark转储的前300个数据包 更新2 ARP输出 Interface: 172.16.0.2 — 0xb Internet Address Physical Address Type 172.16.0.1 9c-d3-6d-db-0d-1b dynamic 172.16.0.255 ff-ff-ff-ff-ff-ff static 172.16.2.1 4c-60-de-24-31-6b dynamic 224.0.0.2 01-00-5e-00-00-02 static 224.0.0.22 01-00-5e-00-00-16 static 224.0.0.251 […]
我的愿望是监视我的服务器和浏览器之间的HTTP交stream。 目前,我使用本地主机,因为我正在开发应用程序。 我安装和使用tcpflow ,发现它非常有用,但响应的主体被encryption(没有https,我相信它是gzipped,如果我参考头)。 这是来自tcpflow -i lo -c -e的交换: 127.000.000.001.59549-127.000.000.001.00080: GET /dom/test.html HTTP/1.1 Host: localhost Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/37.0.2062.120 Chrome/37.0.2062.120 Safari/537.36 Referer: http://localhost/ Accept-Encoding: gzip,deflate,sdch Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.6,en;q=0.4 127.000.000.001.00080-127.000.000.001.59549: HTTP/1.1 200 OK Date: Mon, 05 Oct 2015 03:44:53 GMT Server: Apache/2.2.22 (Ubuntu) Last-Modified: Mon, 05 […]
通常情况下,到DNS服务器的TCP连接预计是短暂的,即:客户端连接,发送查询并在获得响应时断开连接。 如果客户想要保持与DNS服务器的长期TCP连接,并且在发送查询时使用它,这是一种安全的/可接受的做法吗? 对于DNS服务器,长期存在的TCP连接可能被解释为DOS攻击。 DNS服务器通常会跟踪TCP连接并尝试closures长时间的连接?