iptables нагрузка

0

2

залетает такой трафик: syn флуд, обьём около 60-70мегабит, ~100тыс пакетов размером 40б. В итоге iptables нагружает систему до отказа. картинка

Раньше с теми же правилами с отрезанием 40б пакетов жевал и по 400 тыс при этом нагрузка не заметная была практически.

Что это может быть, почему так нагрузка подымается, куда копать?

Ссылка

←	alsamixer, проблемы с микрофоном

Получить все строки в кавычках

→

Коннтрак, может, добавил. Или еще что.

turtle_bazon ★★★★★
(30.01.15 15:23:09 MSK)

Ответ на: комментарий от turtle_bazon 30.01.15 15:23:09 MSK

да кстати, добавлял, как его отключить?

User01 ★
(30.01.15 15:29:33 MSK) автор топика

Ответ на: комментарий от User01 30.01.15 15:29:33 MSK

Удалением правильно, наверное. :)

turtle_bazon ★★★★★
(30.01.15 15:32:16 MSK)

Ответ на: комментарий от turtle_bazon 30.01.15 15:32:16 MSK

apt-get remove conntrack не помог, даже ребут не спас. sysctl net.netfilter.nf_conntrack_count данная команда работает, значит контрек активен же?

User01 ★
(30.01.15 16:13:45 MSK) автор топика

Ответ на: комментарий от User01 30.01.15 16:13:45 MSK

Так он активируется правилами иптаблеса. Типа, управление стейтами. Если не ошибаюсь.

turtle_bazon ★★★★★
(30.01.15 17:33:36 MSK)

Ответ на: комментарий от User01 30.01.15 16:13:45 MSK

либо выгрузить модули conntack, либо в таблице raw "-j CT --notrack"

vel ★★★★★
(30.01.15 18:57:29 MSK)

Ссылка

Ответ на: комментарий от turtle_bazon 30.01.15 17:33:36 MSK

Он активизируется загрузкой модуля nf_conntrack.

vel ★★★★★
(30.01.15 18:59:18 MSK)

Ответ на: комментарий от vel 30.01.15 18:59:18 MSK

как его выгрузить? какой командой

User01 ★
(30.01.15 19:02:05 MSK) автор топика

Ответ на: комментарий от vel 30.01.15 18:59:18 MSK

Так если модуль загружен, но не работает, то и нагрузки же не создаёт?

turtle_bazon ★★★★★
(30.01.15 19:11:17 MSK)

Ответ на: комментарий от turtle_bazon 30.01.15 19:11:17 MSK

ну возможно при атаке он активируется, поэтому хочу его вообще потушить.

User01 ★
(30.01.15 19:49:54 MSK) автор топика

Ссылка

iptables нагружает систему до отказа

С чего ты решил что это именно iptables?

edigaryev ★★★★★
(30.01.15 20:01:27 MSK)

Ссылка

http://higgs.rghost.ru/76HTlTNnF/image.png

Да ты у нас еще и шпиён, шифруешься. Что такого секретного в названии ksoftirqd?

Разбросай обработчики прерываний сетевой карты по ядрам. Если не поможет можно настроить SYNPROXY, хотя с твоим древним ядром ты таки настоящий ССЗБ.

edigaryev ★★★★★
(30.01.15 20:20:04 MSK)

Ответ на: комментарий от edigaryev 30.01.15 20:20:04 MSK

И так расбросано по ядрам. В итоге те на которые расбросаны и ложатся. Да походу это контрек, ибо до этого 300 тыс прилетало и ниче а тут сотка и габана дедику

User01 ★
(30.01.15 20:38:59 MSK) автор топика

Ссылка

Ответ на: комментарий от turtle_bazon 30.01.15 19:11:17 MSK

открой исходники и посмотри как он ничего не делает :)

Если модуль не загружен, то ряд указателей на функции ссылаются на заглушки. После загрузки nf_conntack они начинают указывать на реальный код. Так что conntack работает даже если не загружен x_tables, ip_tables, iptable_raw, iptable_nat, iptable_mangle, iptable_filter

vel ★★★★★
(31.01.15 21:35:30 MSK)