[FUG-BR] DOS no squid?

Joao Rocha Braga Filho goffredo em gmail.com
Quinta Junho 25 16:15:29 BRT 2009 

2009/6/25 Joao Rocha Braga Filho <goffredo at gmail.com>

> Estou tendo um DOS, que afeta toda a parte de TCP.
>
> O squid diz que não tem buffers disponíveis. O ssh não estabelece
> conexão. Tudo relativo ao squid para. Os file descriptors abertos
> pelo sistema ficam na ordem de 3 mil, de 12 mil possíveis. Em
> outros ataques de DOS eu notei uma quantidade grande de file
> descriptors abertos, o que não foi o caso agora, que mesmo alto,
> não esgotou. Baixeio cache do squid para 700 MB e aparentemente
> parou de acontecer.
>


Acho que descobri uma coisa:

"
fire2:root[373] sysctl -a | grep socke
kern.ipc.numopensockets: 11767
kern.ipc.maxsockets: 12328
socket:          356,    12331,  11767,    564,  5479360
security.jail.socket_unixiproute_only: 1
security.jail.allow_raw_sockets: 0
"

Então aumentei a quantidade máxima de sockets para 20 mil:

"
fire2:root[378] netstat -an | wc
   12339   74070  962667
fire2:root[379] netstat -an | grep -v '\.80[^0-9]' |  wc
      57     378    3890
fire2:root[380] sysctl -a | grep socke
kern.ipc.numopensockets: 11835
kern.ipc.maxsockets: 20000
socket:          356,    20009,  11835,    496,  5487587
security.jail.socket_unixiproute_only: 1
security.jail.allow_raw_sockets: 0
fire2:root[381] sysctl -a | grep files
kern.maxfiles: 25000
kern.maxfilesperproc: 22500
kern.openfiles: 2010
p1003_1b.mapped_files: 1
"

Quase todos as conexões de rede envolviam a porta 80,
como era de se esperar em um squid em proxy transparente.

Mas notei outra coisa minutos depois que tirei as informações
acima:

"
fire2:root[382] sysctl -a | grep socke
kern.ipc.numopensockets: 2247
kern.ipc.maxsockets: 20000
socket:          356,    20009,   2248,  10083,  5505881
security.jail.socket_unixiproute_only: 1
security.jail.allow_raw_sockets: 0
"

Sim, a quantidade de sockets em uso parece ter caído para
um nível aceitável.

Só tenho 3 portas TCP em LISTEN:

"
fire2:root[388] netstat -an | grep LIST
tcp4       0      0  *.3128                 *.*                    LISTEN
tcp4       0      0  127.0.0.1.25           *.*                    LISTEN
tcp4       0      0  *.22                   *.*                    LISTEN
"







>
>
> Alguém tem uma idéia do que pode estar acontecendo?
>
>
> João Rocha.
>
>
> --
> "Sempre se apanha mais com as menores besteiras. Experiência própria."
>
> goffredo at gmail.com
>



-- 
"Sempre se apanha mais com as menores besteiras. Experiência própria."

goffredo at gmail.com

Mais detalhes sobre a lista de discussão freebsd