如何解決當(dāng)MySQL數(shù)據(jù)庫遇到SynFlooding問題-創(chuàng)新互聯(lián)

這篇文章給大家分享的是有關(guān)如何解決當(dāng)MySQL數(shù)據(jù)庫遇到Syn Flooding問題的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

創(chuàng)新互聯(lián)公司主營嘉峪關(guān)網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都App定制開發(fā),嘉峪關(guān)h5微信小程序搭建,嘉峪關(guān)網(wǎng)站營銷推廣歡迎嘉峪關(guān)等地區(qū)企業(yè)咨詢

Syn攻擊是最常見又最容易被利用的一種攻擊手法，利用TCP協(xié)議的缺陷，發(fā)送大量偽造TCP連接請求，常用假冒的IP發(fā)來海量的SYN包，被攻擊的服務(wù)器回應(yīng)SYN+ACK，因?yàn)閷Ψ绞羌倜暗腎P，永遠(yuǎn)收不到包并且不會回應(yīng)，導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的半連接，并且會重試默認(rèn)5次回應(yīng)握手包，塞滿TCP等待連接隊(duì)列，資源耗盡，讓正常的業(yè)務(wù)請求連接不進(jìn)來。

Syn攻擊常見于應(yīng)用服務(wù)器，而數(shù)據(jù)庫服務(wù)器在內(nèi)網(wǎng)中，應(yīng)該很難碰到類似的攻擊，但有時(shí)候應(yīng)用程序如果和數(shù)據(jù)庫建連姿勢不正確，在數(shù)據(jù)庫端，也會被認(rèn)為是Syn攻擊，并拒絕連接建立。

【問題描述】

數(shù)據(jù)庫突發(fā)的拒絕鏈接，應(yīng)用報(bào)錯，出問題的時(shí)間點(diǎn)上，數(shù)據(jù)庫服務(wù)器的操作系統(tǒng)日志里，即/var/log/messages，可看到如下報(bào)錯信息：

kernel: possible SYN flooding on port 3306. Sending cookies.

【問題分析】

出問題的點(diǎn)上，從數(shù)據(jù)庫的監(jiān)控指標(biāo)來看，Threads Connected 這個指標(biāo)有增長。這個也是很明顯，因?yàn)閷?shù)據(jù)庫來說，Syn Flooding就是應(yīng)用程序突發(fā)的對數(shù)據(jù)庫發(fā)起建連，操作系統(tǒng)處理不過來，所以報(bào)Syn Flooding, 從數(shù)據(jù)庫的性能指標(biāo)來看，連接數(shù)肯定是會有一個突發(fā)的增長。應(yīng)對方案就是需要分析這些突發(fā)的增長是怎么來的，削峰填谷，讓連接更平穩(wěn)。

【解決方案】

在數(shù)據(jù)庫服務(wù)端，做如下調(diào)整：這個調(diào)整的意思是說：增加TCP半連接的緩沖，默認(rèn)值是2048，我們調(diào)整到8192，讓系統(tǒng)的抗突發(fā)壓力增大一些。Tcp_syn_retires和Tcp_synack_retires默認(rèn)是5，也就是服務(wù)器端要發(fā)送五次包，才會終止重試，我們把這個參數(shù)調(diào)整為2. 只重試一次，讓出錯的包盡量提早出錯，以減少緩存的連接數(shù)。

echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 2 > /proc/sys/net/ipv4/tcp_syn_retries
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries

這個參數(shù)調(diào)整，即時(shí)生效，無需重啟。當(dāng)然服務(wù)器重啟后，這些參數(shù)也會回退到默認(rèn)值。經(jīng)此調(diào)整，數(shù)據(jù)庫端的抗壓能力得到加強(qiáng)，但并沒有完全解決問題。

我們在客戶端也做相應(yīng)調(diào)整：

為減少數(shù)據(jù)庫的連接數(shù)壓力，通常我們建議連接池做如下配置：

testWhileIdle="false"?？臻e時(shí)不檢測連接串健康
minIdle="0"。連接池里面空閑連接的最小個數(shù)
maxAge="30000"。一個鏈接超過多少毫秒就可以回收掉。
initialSize="1"。連接池里面初始連接的最小個數(shù)
timeBetweenEvictionRunsMillis="5000"。回收線程的運(yùn)行間隔（毫秒）

對于現(xiàn)在的場景，我們建議調(diào)高minIdle這個參數(shù)，從0調(diào)整到5. 讓連接池平時(shí)有5個空閑連接存在，這樣，發(fā)起對數(shù)據(jù)庫請求的時(shí)候，會先使用這5個空閑連接。達(dá)到削峰填谷的作用。當(dāng)然，副作用就是數(shù)據(jù)庫平時(shí)的連接數(shù)會增長。具體調(diào)整到多少合適，需要結(jié)合實(shí)際的數(shù)據(jù)庫連接負(fù)載情況。對于.NET程序，也有相應(yīng)的連接池參數(shù)可以調(diào)整：可以適當(dāng)修改minPoolSize這個參數(shù)，也調(diào)整到5.

經(jīng)此調(diào)整，基本上大部分的數(shù)據(jù)庫Syn Flooding問題都能解決。

當(dāng)然，這些都是調(diào)優(yōu)的手段，只能是微微的改善系統(tǒng)。提高抗壓能力。最終的分析，還是要看連接壓力從何而來。以及為何需要突發(fā)建立大量連接到數(shù)據(jù)庫。對于此種突發(fā)場景，用數(shù)據(jù)庫是否合適。替代方案是前面用Redis加一層緩沖。避免突發(fā)的對數(shù)據(jù)庫發(fā)起建連請求。這個就涉及到應(yīng)用的改造了。

感謝各位的閱讀！關(guān)于“如何解決當(dāng)MySQL數(shù)據(jù)庫遇到Syn Flooding問題”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁題目：如何解決當(dāng)MySQL數(shù)據(jù)庫遇到SynFlooding問題-創(chuàng)新互聯(lián)
本文鏈接：http://bm7419.com/article42/hdchc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、云服務(wù)器、移動網(wǎng)站建設(shè)、網(wǎng)站改版、電子商務(wù)、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)