Page 1 of 1
Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sat Aug 29, 2015 8:50 am
by br1an
Доброго времени суток!
Столкнулся с таким вот дудосом, и не знаю что делать...прошу у Вас совета
Хост digitaloceans (2gb/2core), ubuntu 14.04 и последняя веста. Хостится один очень простой сайт (легкий самопис, минимум запросов к базе (база сама из трех таблиц))
Начали переодически ложить сайт, сайт становится просто недоступным (не получается попасть ни в панель весты, ни по SSH) несколько минут, потом сайт отпускают.
Через VNC успел сделать такой вот скрин
И из панели весты уже после:
FTP:
После заблокировал порты через фаервол весты (FTP/DNS/SMTP/POP3/IMAP), но не помогло...
Кто нибудь сталкивался с такой проблемой?
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sat Aug 29, 2015 1:36 pm
by Kirill
А причем здесь панель VestaCP?
Напишите на
http://searchengines.guru/
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sat Aug 29, 2015 8:24 pm
by Mr.Erbutw
br1an wrote:...
Кто нибудь сталкивался с такой проблемой?
Судя по графику интернет канал слабый, а логи что говорят ?
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sat Aug 29, 2015 9:09 pm
by skurudo
Товарищ просто поинтересовался.
А вы его сразу в ответы типа - "найми админа, найми меня, чувааак". :)
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sat Aug 29, 2015 9:16 pm
by skurudo
br1an wrote:
Кто нибудь сталкивался с такой проблемой?
Проблеме не один год и случается она не только на убунте, но была и на дебиан, и на центосе. ksoftirqd - Это все что происходит с пакетом в ядре - роутинг, фильтрация, шейпинг, нат и тд.
По возможности посмотреть cat /proc/interrupts в тот самый момент, dmesg... есть подозрение на syn flood.
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sun Aug 30, 2015 7:43 am
by Mr.Erbutw
Правила спасут в фаерволе. Или на оборот слишком много. Flood на порту.
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Sun Aug 30, 2015 10:06 am
by skurudo
Да, как вариант.
Плюс можно добавить в sysctl настройки дополнительные настройки:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
net.ipv4.conf.all.rp_filter = 1
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Tue Sep 01, 2015 11:55 am
by br1an
Mr.Erbutw wrote:Правила спасут в фаерволе. Или на оборот слишком много. Flood на порту.
На счет много не знаю, ничего не добавлял/убавлял, накатил весту и чутка подправил конфиги nginx/apache/php.
Тоже читал что это связано с обработкой правил, мол когда очень большой iptables, но я его не трогал..
skurudo wrote:Да, как вариант.
Плюс можно добавить в sysctl настройки дополнительные настройки:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
net.ipv4.conf.all.rp_filter = 1
Спасибо огромное за практический совет, буду пробовать, отпишусь как решится проблема :)
Re: Интересный DDOS - ksoftirqd/0 -100% CPU
Posted: Tue Sep 01, 2015 12:13 pm
by skurudo
br1an wrote:Mr.Erbutw wrote:Правила спасут в фаерволе. Или на оборот слишком много. Flood на порту.
На счет много не знаю, ничего не добавлял/убавлял, накатил весту и чутка подправил конфиги nginx/apache/php.
Тоже читал что это связано с обработкой правил, мол когда очень большой iptables, но я его не трогал..
iptables при большой нагрузке на канал являются скорее слабым местом, но это правдиво при реально больших нагрузках... :)