apache服务器的问题

wd

UID: 3215
帖子: 84
积分: 193
在线时间: 9 小时

1^# wd 发表于 2008-07-07 11:32

apache服务器的问题

[Copy to clipboard] [ - ]

CODE:

14:39:00.055063 IP 1.1.1.1.2110 > abc.com.http: S 2291834939:2291834939(0) win 65535 <mss 1452,nop,wscale 2,nop,nop,sackOK>
14:39:00.055072 IP abc.com.http > 1.1.1.1.2110: S 3830471046:3830471046(0) ack 2291834940 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>
14:39:00.198600 IP 1.1.1.1.2110 > abc.com.http: . ack 1 win 64251
14:39:06.210273 IP 1.1.1.1.2138 > abc.com.http: S 1860230847:1860230847(0) win 65535 <mss 1452,nop,wscale 2,nop,nop,sackOK>
14:39:06.210280 IP abc.com.http > 1.1.1.1.2138: S 3861191730:3861191730(0) ack 1860230848 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>
14:39:06.287274 IP 1.1.1.1.2138 > abc.com.http: . ack 1 win 64251
14:41:01.244034 IP abc.com.http > 1.1.1.1.2110: F 1:1(0) ack 1 win 1460
14:41:01.307754 IP 1.1.1.1.2110 > abc.com.http: R 2291834940:2291834940(0) win 0
14:41:08.246171 IP abc.com.http > 1.1.1.1.2138: F 1:1(0) ack 1 win 1460
14:41:08.310153 IP 1.1.1.1.2138 > abc.com.http: R 1860230848:1860230848(0) win 0

上面这段是我的apache server上面抓的tcpdump信息.服务提供的非常简单，就是一个php文件，代码就2，3行。所以请求完这个文件很快的，但是最近发现总是有些ip连接过来之后，要等到120s才会断开，所以抓包分析一下。

我分析的结果是，这个ip貌似连接过来之后，建立了tcp连接后，什么事情都没干。等了大概120秒之后，我的服务器发送了 F 给那个ip，那个ip给我返回了一个 R，我又发一个F，那个ip继续返回R。此后应该是apache进程就没了，所以没有后续信息了。

这是被攻击了么？这个很奇怪阿，SYN flood的话，应该是不会真正建立tcp连接的吧？

这个120秒，似乎是这个内核参数控制的吧？

net.ipv4.inet_peer_minttl = 120

可是我修改了之后，不起作用，郁闷。

hxq8866

UID: 31749
帖子: 145
积分: 333
在线时间: 1 天 4 小时

2^# hxq8866 发表于 2008-07-10 14:47

修改apache的配置文件试试
把keepalive 打开试试

wd

UID: 3215
帖子: 84
积分: 193
在线时间: 9 小时

3^# wd 发表于 2008-07-11 12:56

QUOTE:

原帖由 hxq8866 于 2008-7-10 14:47 发表
修改apache的配置文件试试
把keepalive 打开试试

我只提供一个文件的访问，是不是 keepalive 关闭比较合适呢？

wd

UID: 3215
帖子: 84
积分: 193
在线时间: 9 小时

4^# wd 发表于 2008-07-11 12:58

找到一个 TimeOut 参数，应该可以解决我的问题。