Хороше бы на правила фаера взглянуть, какие лимиты выставлены, что тюнили?
16.03.2012 00:22, Vadym S. Khondar пишет:
Здравствуйте!
Столкнулся со следующей ситуацией:
есть сервер-фронтенд с nginx, два интерфейса - один для запросов
клиентов, второй для запросов к бекенду.
Сервер периодически ддосят разными способами. После одной из таких
атак, когда практически остались только правильные запросы со стороны
клиентов, на интерфейсе к бекенду в течение длительного времени
наблюдал картину:
13:26:44.675095 IP frontend_ip.27877 > backend_ip.80: Flags [.], ack
2911656049, win 65535, length 0
...
Временами количество такого трафика доходило до 20kpps.
Убийство nginx'а этого потока не остановила. Соединение это по
нетстату пребывало в FIN_WAIT_1.
И таких потоков было несколько наряду с нормальными соединениями к
бекенду.
Поборолось явным block return для проблемных соединений.
uname -rms
FreeBSD 9.0-RELEASE amd64
nginx 1.0.10
Интерфейс с проблемными соединениями - em.
Есть pf с несколькими rdr и pass all no state для остального.
Что это, вероятнее, - проблема настройки или проблема софта?
И как более детально диагностировать проблему?
Спасибо.