Re: possible SYN flooding on port 3128. Sending cookies

[Luciano Cassemiro <luciano.cassemiro@gmail.com>]

Tiago Matias escreveu:
> Será que pode ser isso ? virus na rede, pode ser sim, pq esse squid é
> um servidor squid para +/- 2 mil clientes diretamente
> Esse servidor squid atende outros 6 servidores que gerencia controle
> de banda, firewall, QoS etc, em cada servidor deste 6 tenho media de
> 350 clientes.
> Como eu poderia aumentar essa quantidade de conexões que o kernel
> poderia receber ou suportar ? ou eu teria que colocar mais servidores
> squid na rede, assim diminuindo o trafego apenas em uma maquina.
>
> abraços
>
> 2009/8/20 Fábio Rabelo <fabio@fabiorabelo.wiki.br
> <mailto:fabio@fabiorabelo.wiki.br>>
>
>     flood = inundar
>
>     Alguém ( alguma máquina da sua rede ) está "inindando"  o squid
>     com um número muito grande de requisições .
>
>     Eu "chutaria" que o Sr. tem uma ou mais máquinas contaminadas com
>     vírus dentro da sua rede ....
>
>     Fábio Rabelo
>      
>
>

Caro Tiago,

Esse erro é no log do squid ou no log do sistema?

Desses tunings q vc mencionou, acho que o mais válido é aumentar os file
descriptors para o squid.
Eu não deixaria o backlog tão alto assim. Visto que se chegou no
backlog, gargalo. Não faz diferença mais ou menos backlog, as
requisições chegando vão ter que esperar.
Nem o file descriptors global. Eu só iria alterar se eu notasse que
fosse necessário olhando a saída do cat /proc/sys/fs/file-nr

Seja virus ou não, pra resolver:

Veja se os syncookies estão ativados:
# sysctl -a | grep syncookies

Desligue os syncookies.

Veja o pq:

"Syncookies are discouraged these days." - http://lwn.net/Articles/277217/
"Desvantagens dos Syncookies" - http://ckdake.com/content/2007/disadvantages-of-tcp-syn-cookies.html

Aah..não esqueça de fazer a devida alteração no sysctl.conf, como vc deve saber.

Bom, faça o teste e me fale se funcionou :)

-- 
luciano.x

Teclado não encontrado.
Aperte F2 para continuar ou delete para entrar no setup...