Syn攻擊是最常見(jiàn)又最容易被利用的一種攻擊手法，利用TCP協(xié)議的缺陷，發(fā)送大量偽造TCP連接請(qǐng)求，常用假冒的IP發(fā)來(lái)海量的SYN包，被攻擊的服務(wù)器回應(yīng)SYN+ACK，因?yàn)閷?duì)方是假冒的IP，永遠(yuǎn)收不到包并且不會(huì)回應(yīng)，導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的半連接，并且會(huì)重試默認(rèn)5次回應(yīng)握手包，塞滿TCP等待連接隊(duì)列，資源耗盡，讓正常的業(yè)務(wù)請(qǐng)求連接不進(jìn)來(lái)。

Syn攻擊常見(jiàn)于應(yīng)用服務(wù)器，而數(shù)據(jù)庫(kù)服務(wù)器在內(nèi)網(wǎng)中，應(yīng)該很難碰到類(lèi)似的攻擊，但有時(shí)候應(yīng)用程序如果和數(shù)據(jù)庫(kù)建連姿勢(shì)不正確，在數(shù)據(jù)庫(kù)端，也會(huì)被認(rèn)為是Syn攻擊，并拒絕連接建立。

【問(wèn)題描述】

數(shù)據(jù)庫(kù)突發(fā)的拒絕鏈接，應(yīng)用報(bào)錯(cuò)，出問(wèn)題的時(shí)間點(diǎn)上，數(shù)據(jù)庫(kù)服務(wù)器的操作系統(tǒng)日志里，即/var/log/messages，可看到如下報(bào)錯(cuò)信息：

kernel: possible SYN flooding on port 3306. Sending cookies.

【問(wèn)題分析】

出問(wèn)題的點(diǎn)上，從數(shù)據(jù)庫(kù)的監(jiān)控指標(biāo)來(lái)看，Threads Connected 這個(gè)指標(biāo)有增長(zhǎng)。這個(gè)也是很明顯，因?yàn)閷?duì)數(shù)據(jù)庫(kù)來(lái)說(shuō)，Syn Flooding就是應(yīng)用程序突發(fā)的對(duì)數(shù)據(jù)庫(kù)發(fā)起建連，操作系統(tǒng)處理不過(guò)來(lái)，所以報(bào)Syn Flooding, 從數(shù)據(jù)庫(kù)的性能指標(biāo)來(lái)看，連接數(shù)肯定是會(huì)有一個(gè)突發(fā)的增長(zhǎng)。應(yīng)對(duì)方案就是需要分析這些突發(fā)的增長(zhǎng)是怎么來(lái)的，削峰填谷，讓連接更平穩(wěn)。

【解決方案】

在數(shù)據(jù)庫(kù)服務(wù)端，做如下調(diào)整：這個(gè)調(diào)整的意思是說(shuō)：增加TCP半連接的緩沖，默認(rèn)值是2048，我們調(diào)整到8192，讓系統(tǒng)的抗突發(fā)壓力增大一些。Tcp_syn_retires和Tcp_synack_retires默認(rèn)是5，也就是服務(wù)器端要發(fā)送五次包，才會(huì)終止重試，我們把這個(gè)參數(shù)調(diào)整為2. 只重試一次，讓出錯(cuò)的包盡量提早出錯(cuò)，以減少緩存的連接數(shù)。

echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 2 > /proc/sys/net/ipv4/tcp_syn_retries
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries

這個(gè)參數(shù)調(diào)整，即時(shí)生效，無(wú)需重啟。當(dāng)然服務(wù)器重啟后，這些參數(shù)也會(huì)回退到默認(rèn)值。經(jīng)此調(diào)整，數(shù)據(jù)庫(kù)端的抗壓能力得到加強(qiáng)，但并沒(méi)有完全解決問(wèn)題。

我們?cè)诳蛻?hù)端也做相應(yīng)調(diào)整：

為減少數(shù)據(jù)庫(kù)的連接數(shù)壓力，通常我們建議連接池做如下配置：

testWhileIdle="false"?？臻e時(shí)不檢測(cè)連接串健康
minIdle="0"。連接池里面空閑連接的最小個(gè)數(shù)
maxAge="30000"。一個(gè)鏈接超過(guò)多少毫秒就可以回收掉。
initialSize="1"。連接池里面初始連接的最小個(gè)數(shù)
timeBetweenEvictionRunsMillis="5000"?；厥站€程的運(yùn)行間隔（毫秒）

對(duì)于現(xiàn)在的場(chǎng)景，我們建議調(diào)高minIdle這個(gè)參數(shù)，從0調(diào)整到5. 讓連接池平時(shí)有5個(gè)空閑連接存在，這樣，發(fā)起對(duì)數(shù)據(jù)庫(kù)請(qǐng)求的時(shí)候，會(huì)先使用這5個(gè)空閑連接。達(dá)到削峰填谷的作用。當(dāng)然，副作用就是數(shù)據(jù)庫(kù)平時(shí)的連接數(shù)會(huì)增長(zhǎng)。具體調(diào)整到多少合適，需要結(jié)合實(shí)際的數(shù)據(jù)庫(kù)連接負(fù)載情況。對(duì)于.NET程序，也有相應(yīng)的連接池參數(shù)可以調(diào)整：可以適當(dāng)修改minPoolSize這個(gè)參數(shù)，也調(diào)整到5.

經(jīng)此調(diào)整，基本上大部分的數(shù)據(jù)庫(kù)Syn Flooding問(wèn)題都能解決。

當(dāng)然，這些都是調(diào)優(yōu)的手段，只能是微微的改善系統(tǒng)。提高抗壓能力。最終的分析，還是要看連接壓力從何而來(lái)。以及為何需要突發(fā)建立大量連接到數(shù)據(jù)庫(kù)。對(duì)于此種突發(fā)場(chǎng)景，用數(shù)據(jù)庫(kù)是否合適。替代方案是前面用Redis加一層緩沖。避免突發(fā)的對(duì)數(shù)據(jù)庫(kù)發(fā)起建連請(qǐng)求。這個(gè)就涉及到應(yīng)用的改造了。

總結(jié)

以上所述是小編給大家介紹的解決當(dāng)MySQL數(shù)據(jù)庫(kù)遇到Syn Flooding問(wèn)題,希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！
如果你覺(jué)得本文對(duì)你有幫助，歡迎轉(zhuǎn)載，煩請(qǐng)注明出處，謝謝！

最新評(píng)論