Syn攻擊是最常見又最容易被利用的一種攻擊手法，利用TCP協(xié)議的缺陷，發(fā)送大量偽造TCP連接請求，常用假冒的IP發(fā)來海量的SYN包，被攻擊的服務器回應SYN+ACK，因為對方是假冒的IP，永遠收不到包并且不會回應，導致被攻擊服務器保持大量SYN_RECV狀態(tài)的半連接，并且會重試默認5次回應握手包，塞滿TCP等待連接隊列，資源耗盡，讓正常的業(yè)務請求連接不進來。

Syn攻擊常見于應用服務器，而數(shù)據(jù)庫服務器在內(nèi)網(wǎng)中，應該很難碰到類似的攻擊，但有時候應用程序如果和數(shù)據(jù)庫建連姿勢不正確，在數(shù)據(jù)庫端，也會被認為是Syn攻擊，并拒絕連接建立。

【問題描述】

數(shù)據(jù)庫突發(fā)的拒絕鏈接，應用報錯，出問題的時間點上，數(shù)據(jù)庫服務器的操作系統(tǒng)日志里，即/var/log/messages，可看到如下報錯信息：

kernel: possible SYN flooding on port 3306. Sending cookies.

【問題分析】

出問題的點上，從數(shù)據(jù)庫的監(jiān)控指標來看，Threads Connected 這個指標有增長。這個也是很明顯，因為對數(shù)據(jù)庫來說，Syn Flooding就是應用程序突發(fā)的對數(shù)據(jù)庫發(fā)起建連，操作系統(tǒng)處理不過來，所以報Syn Flooding, 從數(shù)據(jù)庫的性能指標來看，連接數(shù)肯定是會有一個突發(fā)的增長。應對方案就是需要分析這些突發(fā)的增長是怎么來的，削峰填谷，讓連接更平穩(wěn)。

【解決方案】

在數(shù)據(jù)庫服務端，做如下調(diào)整：這個調(diào)整的意思是說：增加TCP半連接的緩沖，默認值是2048，我們調(diào)整到8192，讓系統(tǒng)的抗突發(fā)壓力增大一些。Tcp_syn_retires和Tcp_synack_retires默認是5，也就是服務器端要發(fā)送五次包，才會終止重試，我們把這個參數(shù)調(diào)整為2. 只重試一次，讓出錯的包盡量提早出錯，以減少緩存的連接數(shù)。

echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 2 > /proc/sys/net/ipv4/tcp_syn_retries
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries

這個參數(shù)調(diào)整，即時生效，無需重啟。當然服務器重啟后，這些參數(shù)也會回退到默認值。經(jīng)此調(diào)整，數(shù)據(jù)庫端的抗壓能力得到加強，但并沒有完全解決問題。

我們在客戶端也做相應調(diào)整：

為減少數(shù)據(jù)庫的連接數(shù)壓力，通常我們建議連接池做如下配置：

testWhileIdle="false"?？臻e時不檢測連接串健康
minIdle="0"。連接池里面空閑連接的最小個數(shù)
maxAge="30000"。一個鏈接超過多少毫秒就可以回收掉。
initialSize="1"。連接池里面初始連接的最小個數(shù)
timeBetweenEvictionRunsMillis="5000"?；厥站€程的運行間隔（毫秒）

對于現(xiàn)在的場景，我們建議調(diào)高minIdle這個參數(shù)，從0調(diào)整到5. 讓連接池平時有5個空閑連接存在，這樣，發(fā)起對數(shù)據(jù)庫請求的時候，會先使用這5個空閑連接。達到削峰填谷的作用。當然，副作用就是數(shù)據(jù)庫平時的連接數(shù)會增長。具體調(diào)整到多少合適，需要結(jié)合實際的數(shù)據(jù)庫連接負載情況。對于.NET程序，也有相應的連接池參數(shù)可以調(diào)整：可以適當修改minPoolSize這個參數(shù)，也調(diào)整到5.

經(jīng)此調(diào)整，基本上大部分的數(shù)據(jù)庫Syn Flooding問題都能解決。

當然，這些都是調(diào)優(yōu)的手段，只能是微微的改善系統(tǒng)。提高抗壓能力。最終的分析，還是要看連接壓力從何而來。以及為何需要突發(fā)建立大量連接到數(shù)據(jù)庫。對于此種突發(fā)場景，用數(shù)據(jù)庫是否合適。替代方案是前面用Redis加一層緩沖。避免突發(fā)的對數(shù)據(jù)庫發(fā)起建連請求。這個就涉及到應用的改造了。

總結(jié)

以上所述是小編給大家介紹的解決當MySQL數(shù)據(jù)庫遇到Syn Flooding問題,希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復大家的。在此也非常感謝大家對本站網(wǎng)站的支持！
如果你覺得本文對你有幫助，歡迎轉(zhuǎn)載，煩請注明出處，謝謝！

香港服務器租用

版權聲明：本站文章來源標注為YINGSOO的內(nèi)容版權均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。