Ядро паники под DDOS
Я использую Debian 6 - 64-битную систему (Kernel 2.6.32-5-amd64) и часто заливаю DDOS. Я настроил параметры сети в /etc/sysctl.conf, чтобы не допустить переполнения параметров ядра. Хотя большинство параметров были хорошими, но я начал наблюдать за сообщениями "nf_conntrack: table full" в ** /var/log/messages**, поэтому, чтобы преодолеть это, я добавил некоторые дополнительные оптимизации и увеличил параметры. Вот некоторые выводы из "sysctl -a",
net.netfilter.nf_conntrack_max = 256000
net.netfilter.nf_conntrack_count = 124
net.netfilter.nf_conntrack_buckets = 256000
net.netfilter.nf_conntrack_generic_timeout = 120
kernel.printk_ratelimit = 30
kernel.printk_ratelimit_burst = 200
Это позаботилось о сообщениях "nf_conntrack: table full" некоторое время, но теперь я постоянно получаю следующие сообщения, и часто моя система перестает отвечать на запросы своей сети. Я снова вижу несколько сообщений "nf_conntrack: table full" вместе со спамом "dst cache overflow",
http://paste.ubuntu.com/10748348/
Атака, которую я получаю, недостаточно высока, но злоумышленник непрерывно наполняет меня примерно 30 тыс. PPS в течение нескольких часов, что вызывает это.
Эти результаты также могут быть полезны,
grep . /proc/sys/net/ipv4/route/*
/proc/sys/net/ipv4/route/error_burst:1250
/proc/sys/net/ipv4/route/error_cost:250
/proc/sys/net/ipv4/route/gc_thresh:131072