Интересный DDOS - ksoftirqd/0 -100% CPU

br1an · Post by **br1an** » Sat Aug 29, 2015 8:50 am

Доброго времени суток!
Столкнулся с таким вот дудосом, и не знаю что делать...прошу у Вас совета
Хост digitaloceans (2gb/2core), ubuntu 14.04 и последняя веста. Хостится один очень простой сайт (легкий самопис, минимум запросов к базе (база сама из трех таблиц))
Начали переодически ложить сайт, сайт становится просто недоступным (не получается попасть ни в панель весты, ни по SSH) несколько минут, потом сайт отпускают.
Через VNC успел сделать такой вот скрин

И из панели весты уже после:
FTP:

После заблокировал порты через фаервол весты (FTP/DNS/SMTP/POP3/IMAP), но не помогло...

Кто нибудь сталкивался с такой проблемой?

Kirill · Post by **Kirill** » Sat Aug 29, 2015 1:36 pm

А причем здесь панель VestaCP?
Напишите на http://searchengines.guru/

Mr.Erbutw · Post by **Mr.Erbutw** » Sat Aug 29, 2015 8:24 pm

br1an wrote:...
Кто нибудь сталкивался с такой проблемой?

Судя по графику интернет канал слабый, а логи что говорят ?

Post by **skurudo** » Sat Aug 29, 2015 9:09 pm

Kirill wrote:А причем здесь панель VestaCP?
Напишите на http://searchengines.guru/

Товарищ просто поинтересовался.
А вы его сразу в ответы типа - "найми админа, найми меня, чувааак". :)

Post by **skurudo** » Sat Aug 29, 2015 9:16 pm

br1an wrote: Кто нибудь сталкивался с такой проблемой?

Проблеме не один год и случается она не только на убунте, но была и на дебиан, и на центосе. ksoftirqd - Это все что происходит с пакетом в ядре - роутинг, фильтрация, шейпинг, нат и тд.

По возможности посмотреть cat /proc/interrupts в тот самый момент, dmesg... есть подозрение на syn flood.

Mr.Erbutw · Post by **Mr.Erbutw** » Sun Aug 30, 2015 7:43 am

Правила спасут в фаерволе. Или на оборот слишком много. Flood на порту.

Post by **skurudo** » Sun Aug 30, 2015 10:06 am

Да, как вариант.
Плюс можно добавить в sysctl настройки дополнительные настройки:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
net.ipv4.conf.all.rp_filter = 1

br1an · Post by **br1an** » Tue Sep 01, 2015 11:55 am

Mr.Erbutw wrote:Правила спасут в фаерволе. Или на оборот слишком много. Flood на порту.

На счет много не знаю, ничего не добавлял/убавлял, накатил весту и чутка подправил конфиги nginx/apache/php.
Тоже читал что это связано с обработкой правил, мол когда очень большой iptables, но я его не трогал..

skurudo wrote:Да, как вариант.
Плюс можно добавить в sysctl настройки дополнительные настройки:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
net.ipv4.conf.all.rp_filter = 1

Спасибо огромное за практический совет, буду пробовать, отпишусь как решится проблема :)

Post by **skurudo** » Tue Sep 01, 2015 12:13 pm

br1an wrote:
Mr.Erbutw wrote:Правила спасут в фаерволе. Или на оборот слишком много. Flood на порту.
На счет много не знаю, ничего не добавлял/убавлял, накатил весту и чутка подправил конфиги nginx/apache/php.
Тоже читал что это связано с обработкой правил, мол когда очень большой iptables, но я его не трогал..

iptables при большой нагрузке на канал являются скорее слабым местом, но это правдиво при реально больших нагрузках... :)

Vesta Control Panel - Forum

Интересный DDOS - ksoftirqd/0 -100% CPU

Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Re: Интересный DDOS - ksoftirqd/0 -100% CPU

Login • Register