你好,我从内核反复收到此类消息:
[1697692.076962] possible SYN flooding on port 80. Sending cookies.
知道这是什么意思吗?如果这样更容易理解的话,它位于 EC2 主机上。
谢谢
答案1
这意味着你正在受到某个人的攻击,他认为网络堆栈的最新技术是在 90 年代末达到的。“SYN 泛洪”是一种通过半开大量 TCP 连接来拒绝服务的方式,这种方式需要保存所有这些半开连接的状态,从而耗尽服务器上的资源。人们很快意识到,这些半开连接的状态可以存储在 ACK 数据包本身中,这就是“发送 cookie”的意思。
通过在互联网上搜索“Syn flooding”和“Syn cookies”,可以找到大量的信息。
答案2
您启用了 SYN cookie,您的服务器的待处理 TCP 连接表已满,并且您的服务器收到了另一个连接尝试(SYN 数据包)。
这可能是由于 SYN 泛洪(一种拒绝服务攻击)造成的,但也可能是由于配置不当(SYN-recv 表太小、SYN 数据包的超时/重试计数太长等)。
结果是,当您收到这些消息时,您的一些正常/实际用户可能会遇到次优行为。这通常是对数据包丢失的敏感度更高,主要导致一小部分原本可以成功的连接无法连接。
关于这一切的帖子有很多,其中很多都在这个网站上。如果你搜索日志消息,甚至只是 SYN,你几乎肯定会学到所有有用的知识。