解決當(dāng)MySQL數(shù)據(jù)庫(kù)遇到Syn Flooding問(wèn)題
Syn攻擊是最常見(jiàn)又最容易被利用的一種攻擊手法,利用TCP協(xié)議的缺陷,發(fā)送大量偽造TCP連接請(qǐng)求,常用假冒的IP發(fā)來(lái)海量的SYN包,被攻擊的服務(wù)器回應(yīng)SYN+ACK,因?yàn)閷?duì)方是假冒的IP,永遠(yuǎn)收不到包并且不會(huì)回應(yīng),導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的半連接,并且會(huì)重試默認(rèn)5次回應(yīng)握手包,塞滿TCP等待連接隊(duì)列,資源耗盡,讓正常的業(yè)務(wù)請(qǐng)求連接不進(jìn)來(lái)。
Syn攻擊常見(jiàn)于應(yīng)用服務(wù)器,而數(shù)據(jù)庫(kù)服務(wù)器在內(nèi)網(wǎng)中,應(yīng)該很難碰到類(lèi)似的攻擊,但有時(shí)候應(yīng)用程序如果和數(shù)據(jù)庫(kù)建連姿勢(shì)不正確,在數(shù)據(jù)庫(kù)端,也會(huì)被認(rèn)為是Syn攻擊,并拒絕連接建立。
【問(wèn)題描述】
數(shù)據(jù)庫(kù)突發(fā)的拒絕鏈接,應(yīng)用報(bào)錯(cuò),出問(wèn)題的時(shí)間點(diǎn)上,數(shù)據(jù)庫(kù)服務(wù)器的操作系統(tǒng)日志里,即/var/log/messages,可看到如下報(bào)錯(cuò)信息:
kernel: possible SYN flooding on port 3306. Sending cookies.
【問(wèn)題分析】
出問(wèn)題的點(diǎn)上,從數(shù)據(jù)庫(kù)的監(jiān)控指標(biāo)來(lái)看,Threads Connected 這個(gè)指標(biāo)有增長(zhǎng)。這個(gè)也是很明顯,因?yàn)閷?duì)數(shù)據(jù)庫(kù)來(lái)說(shuō),Syn Flooding就是應(yīng)用程序突發(fā)的對(duì)數(shù)據(jù)庫(kù)發(fā)起建連,操作系統(tǒng)處理不過(guò)來(lái),所以報(bào)Syn Flooding, 從數(shù)據(jù)庫(kù)的性能指標(biāo)來(lái)看,連接數(shù)肯定是會(huì)有一個(gè)突發(fā)的增長(zhǎng)。應(yīng)對(duì)方案就是需要分析這些突發(fā)的增長(zhǎng)是怎么來(lái)的,削峰填谷,讓連接更平穩(wěn)。
【解決方案】
在數(shù)據(jù)庫(kù)服務(wù)端,做如下調(diào)整:這個(gè)調(diào)整的意思是說(shuō):增加TCP半連接的緩沖,默認(rèn)值是2048,我們調(diào)整到8192,讓系統(tǒng)的抗突發(fā)壓力增大一些。Tcp_syn_retires和Tcp_synack_retires默認(rèn)是5,也就是服務(wù)器端要發(fā)送五次包,才會(huì)終止重試,我們把這個(gè)參數(shù)調(diào)整為2. 只重試一次,讓出錯(cuò)的包盡量提早出錯(cuò),以減少緩存的連接數(shù)。
echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 2 > /proc/sys/net/ipv4/tcp_syn_retries
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
這個(gè)參數(shù)調(diào)整,即時(shí)生效,無(wú)需重啟。當(dāng)然服務(wù)器重啟后,這些參數(shù)也會(huì)回退到默認(rèn)值。經(jīng)此調(diào)整,數(shù)據(jù)庫(kù)端的抗壓能力得到加強(qiáng),但并沒(méi)有完全解決問(wèn)題。
我們?cè)诳蛻?hù)端也做相應(yīng)調(diào)整:
為減少數(shù)據(jù)庫(kù)的連接數(shù)壓力,通常我們建議連接池做如下配置:
testWhileIdle="false"??臻e時(shí)不檢測(cè)連接串健康
minIdle="0"。連接池里面空閑連接的最小個(gè)數(shù)
maxAge="30000"。一個(gè)鏈接超過(guò)多少毫秒就可以回收掉。
initialSize="1"。連接池里面初始連接的最小個(gè)數(shù)
timeBetweenEvictionRunsMillis="5000"?;厥站€程的運(yùn)行間隔(毫秒)
對(duì)于現(xiàn)在的場(chǎng)景,我們建議調(diào)高minIdle這個(gè)參數(shù),從0調(diào)整到5. 讓連接池平時(shí)有5個(gè)空閑連接存在,這樣,發(fā)起對(duì)數(shù)據(jù)庫(kù)請(qǐng)求的時(shí)候,會(huì)先使用這5個(gè)空閑連接。達(dá)到削峰填谷的作用。當(dāng)然,副作用就是數(shù)據(jù)庫(kù)平時(shí)的連接數(shù)會(huì)增長(zhǎng)。具體調(diào)整到多少合適,需要結(jié)合實(shí)際的數(shù)據(jù)庫(kù)連接負(fù)載情況。對(duì)于.NET程序,也有相應(yīng)的連接池參數(shù)可以調(diào)整:可以適當(dāng)修改minPoolSize這個(gè)參數(shù),也調(diào)整到5.
經(jīng)此調(diào)整,基本上大部分的數(shù)據(jù)庫(kù)Syn Flooding問(wèn)題都能解決。
當(dāng)然,這些都是調(diào)優(yōu)的手段,只能是微微的改善系統(tǒng)。提高抗壓能力。最終的分析,還是要看連接壓力從何而來(lái)。以及為何需要突發(fā)建立大量連接到數(shù)據(jù)庫(kù)。對(duì)于此種突發(fā)場(chǎng)景,用數(shù)據(jù)庫(kù)是否合適。替代方案是前面用Redis加一層緩沖。避免突發(fā)的對(duì)數(shù)據(jù)庫(kù)發(fā)起建連請(qǐng)求。這個(gè)就涉及到應(yīng)用的改造了。
總結(jié)
以上所述是小編給大家介紹的解決當(dāng)MySQL數(shù)據(jù)庫(kù)遇到Syn Flooding問(wèn)題,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持!
如果你覺(jué)得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!
相關(guān)文章
MySQL?8.0.31中使用MySQL?Workbench提示配置文件錯(cuò)誤信息解決方案
這篇文章主要介紹了MySQL?8.0.31中使用MySQL?Workbench提示配置文件錯(cuò)誤信息,本文給大家分享完美解決方案,文中補(bǔ)充介紹了MySQL?Workbench部分出錯(cuò)及可能解決方案,需要的朋友可以參考下2023-01-01mysql 5.7.17 winx64.zip安裝配置方法圖文教程
這篇文章主要為大家分享了mysql 5.7.17 winx64.zip安裝配置方法圖文教程,具有一定的參考價(jià)值,感興趣的朋友可以參考一下2017-02-02MySQL timestamp的類(lèi)型與時(shí)區(qū)實(shí)例詳解
這篇文章主要介紹了 MySQL timestamp的類(lèi)型與時(shí)區(qū)實(shí)例詳解的相關(guān)資料,需要的朋友可以參考下2016-11-11mysql DBA:mysqladmin常用命令總結(jié)
mysqladmin是MySQL一個(gè)重要的客戶(hù)端,最常見(jiàn)的是使用它來(lái)關(guān)閉數(shù)據(jù)庫(kù),除此,該命令還可以了解MySQL運(yùn)行狀態(tài)、進(jìn)程信息、進(jìn)程等,本文介紹一下如何使用mysqladmin extended-status(因?yàn)闆](méi)有"歧義",所以可以使用ext代替)了解MySQL的運(yùn)行狀態(tài)2014-03-03完美解決mysql in條件語(yǔ)句只讀取一條信息問(wèn)題的2種方案
使用mysql多表查詢(xún)時(shí)一個(gè)表中的某個(gè)字段作為另一表的in查詢(xún)條件,只能讀取一條信息,而直接用數(shù)字的話可以正常讀取2018-04-04MYSQL 一個(gè)巧用字符函數(shù)做數(shù)據(jù)篩選的題
這篇文章主要介紹了MYSQL 一個(gè)巧用字符函數(shù)做數(shù)據(jù)篩選的題,需要的朋友可以參考下2017-05-05