On Thu, 17 Mar 2005, George M. wrote: > cornel wrote: > > Imi puteti spune careva, va rog, ce e cu adresele alea dubioase de pe > > portul 80 ? > > Ce am copiat aici e doar o parte din trafic ca is mult mai multe conexiuni > > pe portul 80. Sunt cumva scanat sau flood-at sau ce se intampla ca > > prostiile astea de adrese imi papa toata banda de pe interfata externa ? > > Pls spuneti-mi careva cum sa scap de pacostea asta de adrese ? > > Ai keep-alive on la apache?
SYN_RECV nu are nici o treaba cu Keep-Alive option de la apache. Conexiunile in stare SYN_RECV inca nu au ajuns la aplicatie (ie apache), care habar nu are de ea deci orice optiune ai pune tu apache-ului nu ar afecta cu nimic acest lucru. Ca sa generezi astfel de conexiuni, trimite un SYN (ca si cum ai vrea sa deschizi o conexiune) catre 80 dar ai grija sa nu mai trimiti absolut nimic dupa (indiferent ce primesti ca raspuns la acel SYN). Atunci o sa ramana (pt un timp) acea conexiune in SYN_RECV pe server. In general pe un server "busy" e normal sa ai un anumit procent de conexiuni asa. Daca acestea chiar devin o problema probabil e vorba de un SYN attack (optiunea de "syn cookies" ar putea ajuta dar nu sunt sigur). -- Mihai RUSU Email: [EMAIL PROTECTED] GPG : http://dizzy.roedu.net/dizzy-gpg.txt WWW: http://dizzy.roedu.net "Linux is obsolete" -- AST --- Detalii despre listele noastre de mail: http://www.lug.ro/
