На этот вопрос уже есть ответ:
У меня есть почтовый сервер, Debian Linux 2.4 .31, который сбрасывает TCP-соединения и в основном недоступен. У меня на нем работает iptables, и он очень ограничен.
Когда я запускаю "netstat -tanp | wc -l", я получаю 366, в то время как "cat / proc / net / ip_conntrack | wc -l "дает мне 124172, потому что я увеличил / proc / sys / net / ipv4 / ip_conntrack_max, так как я бы увидел" ip_conntrack: table full, drop package. "в выводе dmesg, и да, я все еще вижу их, хотя я увеличил максимум.
Я бы / должен был включить файлы cookie tcp syn, но по какой-то странной причине ядро было скомпилировано без него, поэтому я не могу продолжить работу, не перекомпилировав его.
Я просто хотел знать, описывают ли эти симптомы DDOS, поэтому я бы пошел вперед и добавил tcp_syn_cookies.
Спасибо.
Единственный способ истинно знать будет состоять в том, чтобы исследовать входящий трафик. Возьмите использование сбора сетевых данных tcpdump
от Вашего внешнего направления взаимодействуют через интерфейс в течение времени.
tcpdump -s 1500 -w <filename>.pcap -i <interface>
^C это, когда Вы думаете, что собрали достаточно данных. Затем идеально скопируйте pcap файл в машину с GUI и исследуйте с Wireshark.
Это должно смочь дать Вам хорошую идею того, где начать затем. Возможности состоят в том, что Вы не имеете дело с как таковым DDOS, но потенциально большая сумма спама или сканирований портов.
Каково состояние netstat-antp соединения?
Я предполагаю, что у Вас есть соединения, так или иначе застрял, и записи остаются, пока пакет RST не отправляется, если имеют облупленную сеть где-нибудь между Вами и клиентами, получающими доступ к Вашему серверу, он может вызвать определенные пакеты, отбрасываются, и Ваша таблица будет полна.
Лучше для проверки записей и попытки выяснить, что является шаблоном для не правильно закрытых соединений.
Это могло бы также произойти, потому что Вы NIC повреждаетесь некоторый путь.