Hi,
> Warning: possible SYN flood from a.b.c.d to my.host.ip.addr:80.
> Sending cookies.
Само по себе это безобидно: может означать сознательный SYN flood (а
может и не), но означает, что ядро Linux собрано с поддержкой SYN
cookies, которая практически полностью устраняет проблему. (Подробнее
см. ftp://koobera.math.uic.edu/www/syncookies.html)
> После нескольких таких сообщений машина виснет с сообщение: Unable
> to fork.
А это уже означает, что TCP соединения устанавливались полностью. Так
что о SYN flood'е можно не беспокоиться.
> Могут ли это быть проблемы CGI скриптов
Если не установлены resource limit'ы, запросто.
> или же это аттака?
Может быть и атакой, хотя и маловероятно. Опять же, нужны лимиты --
как на Apache целиком, так и на CGI отдельно (средствами suexec).
> адрес в логах все время разный.
Тем более похоже на misconfiguration. А предположение о SYN flood'е
ядро делает и просто при достаточно частых соединениях.
Signed,
Solar Designer
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
