"kernel: Possible SYN flooding on port #. Sending cookies." と表示される
Issue
-
次のメッセージのいずれかがログに記録されます。
kernel: possible SYN flooding on port X. kernel: possible SYN flooding on port X. Sending cookies. kernel: Possible SYN flooding on port X. Check SNMP counters. kernel: Possible SYN flooding on port X. Sending cookies. Check SNMP counters. kernel: TCPv6: Possible SYN flooding on port X.
-
システムが SYN Cookie を送信しています。
- クライアントアプリケーションが、多数の高速 TCP 接続により高負荷状態になり、サーバーで SYN フラッドが発生しているように見えます。
- システムを SYN フラッド攻撃から防御したり、攻撃への耐性を高めるのに役立つのは、カーネル内のどのパラメーターですか?
netstat -s
で確認したところ、x times the listen queue of a socket overflowed
やSYNs to LISTEN sockets dropped
が増加しています。/proc/net/netstat
のListenOverflows
やListenDrops
の値が増加しています。- Red Hat Enterprise Linux で LISTEN ソケットのバッファーがいっぱいになるため、カーネルが TCP 接続を切断します。
- ピーク時に、カーネルの LISTEN ソケットのバッファーがいっぱいになりオーバーフローするため、RHEL サーバーが TCP SYN パケットを破棄します。
Environment
- Red Hat Enterprise Linux (RHEL)
- TCP ネットワーク接続
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.