这是一个创建于 435 天前的主题,其中的信息可能已经有所发展或是发生改变。
负载均衡 实时并发连接数很高,但是实际后端又没什么量。http 后端。 这种情况下,是有恶意用户,只建连,不发请求? 如果是的话,该怎么在负载均衡上判断呢? 负载均衡上只有 7 层日志,这 建立连接 的所在的 4 层看不到。
如果想验证这种情况,我该如何做呢?
 | 1 yaocf 2024 年 11 月 26 日 via Android tcpdump ,然后用表达式筛选。 |
 | 2 R4rvZ6agNVWr56V0 2024 年 11 月 26 日 LB 上如果没有 ss 、netstat 的权限吗? 那 pcap 采样数据有吗? 如果啥都没有,那很难排查了。 |
 | 3 Ipsum 2024 年 11 月 26 日 via Android 看一下是不是网络队列满了?一般做负载均衡的服务器,内核参数要调优的。 |
 | 4 jasonyang9 2024 年 11 月 27 日 via Android haproxy 本身就有这种防范机制,slowloris attack ,用 stick table 记录和筛选 |
 | 5 duck2 2024 年 11 月 27 日 软的还是硬件 slb ,可能的话,趁着发版或者特殊时间重启后观察下,不影响使用的话,应该问题不大,或者抓包看看 |
Select Language