当我们网站的用户试图打开它时,我们遭受连接拒绝的问题。 这个问题以随机的方式发生,大约每月一次或两次,问题会持续几个小时。 另外当发生时,几乎所有连接都被连接拒绝错误拒绝。 但同时也有成功的联系。
在发生这种问题时,有大量RAM(大于60%)和CPU(大于70%)。 我们也检查了networking防火墙,显然stream量通过networking防火墙没有问题,问题发生在服务器级别。 而且我们甚至不能通过执行远程桌面打开网站并尝试在本地打开。
我们检查了用尽的港口问题,似乎不是问题。 SYN数据包的数量很高,但与其他日子一样正常。
这是HTTPERR日志的总结:
s-reason COUNT(ALL *) Timer_ConnectionIdle 462040 Timer_MinBytesPerSecond 27555 Request_Cancelled 1757 Timer_EntityBody 428 Forbidden 247 URL 130 Hostname 117 BadRequest 102 Connection_Dropped 96 Client_Reset 88 Connection_Dropped_List_Full 40 Verb 10 Header 7 Connection_Abandoned_By_ReqQueue 1 任何帮助是非常感谢find我们为什么拒绝连接的原因,当试图打开这个服务器上托pipe的网站。
你是在一个虚拟的环境中运行,还是在物理机器上运行? (编辑,只是重新阅读,看到ESXI 6.所以虚拟它。)
你有一个VMware虚拟机,你使用的是标准安装网卡,还是使用虚拟机提供商特定的网卡? (即:Intel与VMWare)
我们有一个类似的问题,但是当它发生的时候就不那么持久了。 (当一个自动化的脚本运行来检查30个站点的up / down状态时,Ours被暴露,但是只有六个LWP得到。
(对不起,不能使用评论,没有代表)
按照这个TechNet链接 Mohammad发现,SYN Attack Protect默认在> = Vista。 这是我昨天发现的,但不像我昨天看到的, 编辑1中的RegEdits显然不会使它更具攻击性或活跃性。
我采取了一种在防火墙上阻止IP的临时方法来查看发生了什么。 多余的SYN_RECEIVED连接下降,然后最终在另一个IP上再次上升(正如你所期望的)。
如果你没有阅读下面的所有评论,看起来这是朝着一个SYN攻击(对我们俩)的方向。
我目前正在进行testing的开发服务器上的以下更改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ :
SynAttackProtect : https: TcpMaxConnectResponseRetransmissions : https: TcpMaxConnectResponseRetransmissions TcpTimedWaitDelay : https:// technet。 microsoft.com/en-us/library/cc938217.aspx TcpMaxHalfOpenRetried : https: TcpMaxPortsExhausted : https : TcpMaxPortsExhausted library / cc938214.aspx TcpTimedWaitDelay : https : //technet.microsoft.com/en-us/library/cc938217.aspx
有点像这里详细说明: https : //alnitech.com/news/how-to-protect-your-windows-server-from-syn-flood/
有用的注意事项 – 一些TCP / UDP端口的用法。 特别是如果你正在考虑在短暂的范围内增加端口。 (即: netsh int ipv4 set dynamicportrange tcp start=45536 num=20000 ) https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers