[DEBIAN] Supprimer la protection Kernel contre le SYN

[TheCrach]

Bonjour,

J'ai quelques soucis avec toutes les versions de Debian ( Plus généralement, tous les Linux ), en effet, j'ai déjà essayé plein de choses : changement des paramètres réseaux, compilation de kernel ( avec ou sans l'option SYN ) etc etc ...
Impossible de me débarrasser de cette erreur qui drop des packets et qui fait que mon serveur PHP multi-thread ( Avec Fork ) est impossible à joindre à certains moments ( Serveur Gbps avec 2500 connexions actives ) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
Mar 15 22:28:21 xt kernel: net_ratelimit: 122 callbacks suppressed
Mar 15 22:28:21 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:21 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:21 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:21 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:21 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:22 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:22 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:22 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:22 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.
Mar 15 22:28:22 xt kernel: TCP: Possible SYN flooding on port 80. Dropping request.

Y a t'il un moyen de virer littéralement cette protection que je n'arrive pas à arrêter
Ne me dites pas d'activer l'option Syn cookie, c'est un serveur de download et cette option influe sur la vitesse, de plus elle ne change rien au problème d'établissement de connexion lente ou impossible.
Je signale par ailleurs que le kernel une fois compilé sans, ne tient plus compte de cette option, toujours est-il que le message et le drop est toujours là
A savoir que sur des serveurs 100Mbps à 250 connexions actives, le problème n'apparait pas et tout est parfaitement joignable et ce, de façon instantanée.
Il est à noter que ce n'est pas une attaque, surement pas avec 25 SYN_RECV qui se baladent sur un serveur Gbps

Merci pour votre future aide

[Senaku-seishin]

Tu peux changer le nombre maximum de requêtes d'une connexion mémorisée, qui n'avait pas encore reçu d'accusé de réception du client connecté

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sysctl net.ipv4.tcp_max_syn_backlog=nombre

Pour garder conserver ce comportement ajoute au fichier /etc/sysctl.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

net.ipv4.tcp_max_syn_backlog=nombre

Vérifie que tu n'es pas de règle iptable qui limite les SYN

[TheCrach]

Merci pour cette réponse mais déjà augmenté à 32768 sans succès.
Conntrack => La table n'est pas full.
Et plein d'autres paramètres, mais aucun n'influe réellement.
Aucune règle Iptables, j'ai fait au plus clean pour tester.