Добрый день.

С некоторого времени резко подскочил счетчик "bad connection attempts" в "netstat -s -p tcp". Причем, их количество в секунду примерно равно количеству удачных подключений в секунду. Подскажите, куда копать?

FreeBSD 6.3, Nginx+Apache+PHP+MySQL

#ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet XXX.XXX.XXX.XXX netmask 0xfffffffc broadcast XXX.XXX.XXX.XXX
        inet XXX.XXX.XXX.XXX netmask 0xffffff00 broadcast XXX.XXX.XXX.XXX
        ether xx:xx:xx:xx:xx:xx
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active

#netstat -s -p tcp
tcp:
        2643137535 packets sent
                2476430249 data packets (1674211144 bytes)
                113556427 data packets (284633406 bytes) retransmitted
                1857137 data packets unnecessarily retransmitted
                1 resend initiated by MTU discovery
                37058566 ack-only packets (4899410 delayed)
                0 URG only packets
                23476 window probe packets
                1627983 window update packets
                15780007 control packets
        1627813386 packets received
                1265944170 acks (for 1881695788 bytes)
                279039113 duplicate acks
                17997 acks for unsent data
                61874984 packets (352298928 bytes) received in-sequence
                826360 completely duplicate packets (254761886 bytes)
                43875 old duplicate packets
                12787 packets with some dup. data (5398898 bytes duped)
                153704 out-of-order packets (79721425 bytes)
                1485 packets (13749 bytes) of data after window
                43 window probes
                28987463 window update packets
                515016 packets received after close
                5137 discarded for bad checksums
                0 discarded for bad header offset fields
                0 discarded because packet too short
        3714720 connection requests
        10055861 connection accepts
        4705433 bad connection attempts
      ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
        0 listen queue overflows
        4118 ignored RSTs in the windows
        13717935 connections established (including accepts)
        13769580 connections closed (including 2118884 drops)
                3840100 connections updated cached RTT on close
                3876827 connections updated cached RTT variance on close
                3254476 connections updated cached ssthresh on close
        6801 embryonic connections dropped
        549800145 segments updated rtt (of 589287256 attempts)
        26703846 retransmit timeouts
                14712 connections dropped by rexmit timeout
        39884 persist timeouts
                14 connections dropped by persist timeout
        6571 keepalive timeouts
                2 keepalive probes sent
                6569 connections dropped by keepalive
        118407429 correct ACK header predictions
        28189534 correct data packet header predictions
        10180167 syncache entries added
                434419 retransmitted
                581369 dupsyn
                12807 dropped
                10055861 completed
                0 bucket overflow
                0 cache overflow
                64196 reset
                60093 stale
                0 aborted
                0 badack
                0 unreach
                0 zone failures
        10192974 cookies sent
        0 cookies received
        42952894 SACK recovery episodes
        67924483 segment rexmits in SACK recovery episodes
        2379111416 byte rexmits in SACK recovery episodes
        289923490 SACK options (SACK blocks) received
        125442 SACK options (SACK blocks) sent
        0 SACK scoreboard overflow

• FreeBSD, netstat, bad connection attempts?,idle, 13:45 , 22-Ноя-07
  • FreeBSD, netstat, bad connection attempts?,Ramirez, 13:53 , 22-Ноя-07
    • FreeBSD, netstat, bad connection attempts?,idle, 14:12 , 22-Ноя-07
    • FreeBSD, netstat, bad connection attempts?,Ramirez, 14:13 , 22-Ноя-07

>Добрый день.
>
>С некоторого времени резко подскочил счетчик "bad connection attempts" в "netstat -s
>-p tcp". Причем, их количество в секунду примерно равно количеству удачных
>подключений в секунду. Подскажите, куда копать?

sysct net.inet.tcp.log_in_vain=1
tail -f /var/log/message
Только проверьте, что ротация настроена, а то место кончится.

>>Добрый день.
>>
>>С некоторого времени резко подскочил счетчик "bad connection attempts" в "netstat -s
>>-p tcp". Причем, их количество в секунду примерно равно количеству удачных
>>подключений в секунду. Подскажите, куда копать?
>
>sysct net.inet.tcp.log_in_vain=1
>tail -f /var/log/message
>Только проверьте, что ротация настроена, а то место кончится.

Дело в том, что sysct net.inet.tcp.log_in_vain=1 ничего не дает. Или логирование только при перезагрузке включается? А попытки подключения к портам на 127.0.0.1 тоже фиксируются?

>Дело в том, что sysct net.inet.tcp.log_in_vain=1 ничего не дает.

Ну тогда tcpdump Вам в руки.
> Или логирование только при перезагрузке включается?

Сразу.
> А попытки подключения к портам на 127.0.0.1 тоже фиксируются?

Да.

Точнее, конечно он показывает попытки подключений к закрытым портам, но их очень мало, а счетчик "bad connection attempts" увеличивается на 20-30 в секунду.