摘要:
通过调整tcp参数来防范DDOS攻击 虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。 抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理,发送大量... 阅读全文
摘要:
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 结果: 除了ESTABLISHED,可以看到连接数比较多的几个状态是:FIN_WAIT1, TIME_WAIT, CLOSE_WAIT, SYN_RECV和LAST_ACK;下面的文章就这几个状态的产生条件、对系统的影响以及处理方式... 阅读全文
摘要:
1. Orphan socket 不属于任何进程的socket叫orphan socket。这里顺便一下讨论orphan socket,因为很多网络资源不足导致的错误都和“孤儿socket”有关。 1.1 Orphan socket是怎么产生的呢? 网上没有明确的说明,我们做一个线上调查: Shell代码 [maoyidao@03701 ~]# netsta... 阅读全文
摘要:
Linux系统资源限制 1. 最大文件数 查看进程允许打开的最大文件句柄数:ulimit -n 查看进程所占的文件描述符: lsof -p xxx | wc -l 设置进程能打开的最大文件句柄数:ulimit -n xxx 2. ulimit -n vs. file-max ? 简单的说, ulimit -n控制进程级别能够打开的文件句柄的数量, 而ma... 阅读全文
摘要:
两种情况会出发 "Out of socket memory" 的信息:1.有很多的孤儿套接字(orphan sockets)2.tcp socket 用尽了给他分配的内存首先看看情况 2。对于 TCP socket 来说,使用 pages 来计数的,而非 bytes,一般情况下 1 page = 4096 bytes。page 大小可以通过下面命令获得:$ getconf PAGESIZE4096查看内核分配了多少的内存给 TCP:$ cat /proc/sys/net/ipv4/tcp_mem69618 92825 139236第一个数字表示,当 tcp 使用的 page 阅读全文
摘要:
查找信息,Aug 31 18:25:36 collect-28 kernel: printk: 58 messages suppressed. 此报错需要修改内核信息如下; (1) 加大 ip_conntrack_max 值: 查出原本的 ip_conntrack_max 值,指令: cat /proc/sys/net/ipv4/ip_conntrack_max 写入理想的... 阅读全文
摘要:
iptables ip_conntrack_max 1、what 允许的最大跟踪连接条目 -允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bu... 阅读全文
摘要:
dlopen()是一个强大的库函数。该函数将打开一个新库,并把它装入内存。该函数主要用来加载库中的符号,这些符号在编译的时候是不知道的。比如 Apache Web 服务器利用这个函数在运行过程中加载模块,这为它提供了额外的能力。一个配置文件控制了加载模块的过程。这种机制使得在系统中添加或者删除一个模块时,都不需要重新编译了。 当动态链接库操作函数执行失败时,dlerror可以返回出错... 阅读全文