SYN泛洪内核消息

Question

嗨，我正在从内核中反复收到这类消息：

[1697692.076962] possible SYN flooding on port 80. Sending cookies.

知道这意味着什么吗？如果这样做更容易，那么它就在EC2主机上。

谢谢

Answer 1

这意味着你受到了一些人的攻击，他们认为网络栈的技术是在90年代后期达到的。"SYN洪泛“是一种通过一半打开大量TCP连接来拒绝服务的方法，这应该是为了耗尽服务器上的资源，因为需要保持所有半开放连接的状态。人们很快意识到，这些半开放连接的状态可以存储在ACK数据包本身中，这就是所谓的“发送cookie”。

在互联网上搜索"Syn洪水“和"Syn cookie”可以找到大量的信息。

Answer 2

启用SYN cookie后，服务器的挂起TCP连接表已满，服务器收到了另一次连接尝试(SYN数据包)。

这可能是由于SYN泛滥(拒绝服务攻击的一种类型)，但也可能是由于配置不当( SYN表的大小太小、SYN数据包超时/重试计数太长等)。

结果是，当您收到这些消息时，您的一些正常/实际用户可能正在经历不太理想的行为。这通常是对丢包的敏感程度较高，主要导致连接失败的一小部分连接，否则会成功。

有很多关于这一切的帖子，很多在这个网站上。如果您搜索日志消息，甚至只搜索SYN，您几乎肯定会了解到所有有用的信息。