Совет лавинной рассылки SYN
Я подозреваю, что Вы испытываете необходимость, чтобы сделать некоторое профилирование. На грубом уровне необходимо знать, где узкие места, таким образом, типичные контрольные инструкции по производительности Windows применяются. Производительность общего количества диаграммы ЦП (использование %, непривилегированный режим % по сравнению с привилегированным режимом, контекстными переключениями), диск (длина очереди, дисковое время %), и память (отсутствия страницы / секунда, размеры рабочего набора). Вы захотите начать сужать его, которому процессы (IIS WAM, SQL Server, и т.д.) дают Вам горе.
Как другие сказанные плакаты - если это - SQL-запросы, Вы работаете, затем это - вероятно, проблема оптимизации базы данных. Не пропускайте возможность, что Ваши сценарии, однако, выполняют глупые запросы (ВЫБОР * и фильтруют результаты в сценарии, и т.д.), которые вызывают аномальную загрузку базы данных.
Если делают Вы спускаетесь в отдельные сценарии (т.е. Вы находите, что узкое место указывает на IIS / процессы WAM), то взгляните на этот вопрос о Stackoverflow: https://stackoverflow.com/questions/398028/performance-testing-for-classic-asp-pages существует фрагмент кода там, который является основным таймером выполнения. Рискуя тем, чтобы влиять на производительность далее, но чтобы получить больше видимости, Вы могли также полагать, что вход параметров передал в и время выполнения Ваших сценариев в базу данных. Поиск выбросов в тех данных мог бы помочь Вам найти граничные условия в своих сценариях. Идеально, Вы хотите разработать с профилированием в памяти от запуска, и модифицирование может быть жестким.
Так как я не эксперт в iptables, я обычно позволяю одному из двух брандмауэров обработать это для меня. И APF и CSF являются Великим китайским файрволом когда дело доходит до защиты от Атак SYN, а также множеством других способов, которыми люди могут напасть на Ваш сервер.
Я не знаю Вашу определенную конфигурацию, но я использовал оба из упомянутых брандмауэров на "общих" cPanel/DirectAdmin/Plesk серверах, а также некоторых со службами поддержки, и она работает отлично, после того как Вы позволяете правильные порты.
Отдельно, можно хотеть включить Cookie SYN, который помогает смягчить нападения, где SYN оставляют открытым. Оба из вышеупомянутых сценариев имеют это как опцию.
-
1Какое-либо предложение на APF по сравнению с CSF? +1 для Вашего предложения так или иначе – drAlberT 29 September 2009 в 20:30
-
2I' ve использовал APF на многих серверах в прошлом, но CSF, кажется, лучше разрабатывается теперь и имеет некоторые функции APF, недостает небрандмауэра, полной безопасности сервера. При поиске простого брандмауэра, APF будет работать хорошо, но если Вы ищете " package" затем пойдите с CSF. – Dave Drager 29 September 2009 в 20:35
-
3По вопросу cookie SYN - мы проверили, и они были включены, но мы все еще должны были предпринять шаги выше для получения сайта, отвечающего снова. I' ll взглянули на те брандмауэры, которые Вы упоминаете как I' m знакомый с IPtables, но не усовершенствованным использованием его. – Coops 30 September 2009 в 13:39
Я использовал бы брандмауэр в сетевом периметре к prevent\remediate SYN нападения лавинной рассылки (а также DOS, DDOS, спуфинг, датчики порта, датчики адресного пространства, и т.д.). Я не хочу этот тип материала, входящего в мою внутреннюю сеть, где я должен буду иметь дело с ним на машине основанием машины.
-
1Договорились. В этом случае меня оставили обработать его на сервере как сетевая конфигурация couldn' t быть адаптированным вовремя. – Coops 30 September 2009 в 11:50