Re: possible SYN flooding on port 3128. Sending cookies
Tiago Matias escreveu:
> Será que pode ser isso ? virus na rede, pode ser sim, pq esse squid é
> um servidor squid para +/- 2 mil clientes diretamente
> Esse servidor squid atende outros 6 servidores que gerencia controle
> de banda, firewall, QoS etc, em cada servidor deste 6 tenho media de
> 350 clientes.
> Como eu poderia aumentar essa quantidade de conexões que o kernel
> poderia receber ou suportar ? ou eu teria que colocar mais servidores
> squid na rede, assim diminuindo o trafego apenas em uma maquina.
>
> abraços
>
> 2009/8/20 Fábio Rabelo <fabio@fabiorabelo.wiki.br
> <mailto:fabio@fabiorabelo.wiki.br>>
>
> flood = inundar
>
> Alguém ( alguma máquina da sua rede ) está "inindando" o squid
> com um número muito grande de requisições .
>
> Eu "chutaria" que o Sr. tem uma ou mais máquinas contaminadas com
> vírus dentro da sua rede ....
>
> Fábio Rabelo
>
>
>
Caro Tiago,
Esse erro é no log do squid ou no log do sistema?
Desses tunings q vc mencionou, acho que o mais válido é aumentar os file
descriptors para o squid.
Eu não deixaria o backlog tão alto assim. Visto que se chegou no
backlog, gargalo. Não faz diferença mais ou menos backlog, as
requisições chegando vão ter que esperar.
Nem o file descriptors global. Eu só iria alterar se eu notasse que
fosse necessário olhando a saída do cat /proc/sys/fs/file-nr
Seja virus ou não, pra resolver:
Veja se os syncookies estão ativados:
# sysctl -a | grep syncookies
Desligue os syncookies.
Veja o pq:
"Syncookies are discouraged these days." - http://lwn.net/Articles/277217/
"Desvantagens dos Syncookies" - http://ckdake.com/content/2007/disadvantages-of-tcp-syn-cookies.html
Aah..não esqueça de fazer a devida alteração no sysctl.conf, como vc deve saber.
Bom, faça o teste e me fale se funcionou :)
--
luciano.x
Teclado não encontrado.
Aperte F2 para continuar ou delete para entrar no setup...
Reply to: