"kernel: Possible SYN flooding on port #. Sending cookies." と表示される
Issue
-
次のメッセージのいずれかがログに記録されます。
kernel: possible SYN flooding on port X. kernel: possible SYN flooding on port X. Sending cookies. kernel: Possible SYN flooding on port X. Check SNMP counters. kernel: Possible SYN flooding on port X. Sending cookies. Check SNMP counters. kernel: TCPv6: Possible SYN flooding on port X. -
システムが SYN Cookie を送信しています。
- クライアントアプリケーションが、多数の高速 TCP 接続により高負荷状態になり、サーバーで SYN フラッドが発生しているように見えます。
- システムを SYN フラッド攻撃から防御したり、攻撃への耐性を高めるのに役立つのは、カーネル内のどのパラメーターですか?
netstat -sで確認したところ、x times the listen queue of a socket overflowedやSYNs to LISTEN sockets droppedが増加しています。/proc/net/netstatのListenOverflowsやListenDropsの値が増加しています。- Red Hat Enterprise Linux で LISTEN ソケットのバッファーがいっぱいになるため、カーネルが TCP 接続を切断します。
- ピーク時に、カーネルの LISTEN ソケットのバッファーがいっぱいになりオーバーフローするため、RHEL サーバーが TCP SYN パケットを破棄します。
Environment
- Red Hat Enterprise Linux (RHEL)
- TCP ネットワーク接続
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
