exim_mainlog에 SMTP 서버에 대한 연결이 너무 많습니다. 어떻게 해결합니까?

exim_mainlog에 SMTP 서버에 대한 연결이 너무 많습니다. 어떻게 해결합니까?

이것은 cPanel 서버이고 /var/log/exim_mainlog에서 서버에 대한 연결이 너무 많은 것을 볼 수 있습니다. 대부분의 경우 작동 연결 수는 25개 미만입니다. 그러나 최대 연결 수를 100에서 150으로 늘린 후에도 연결이 너무 많아 문제가 여전히 발생합니다.

2016-03-11 15:33:24 Connection from [216.113.172.65]:59122 refused: too many connections
2016-03-11 15:33:25 Connection from [216.158.225.200]:44107 refused: too many connections
2016-03-11 15:33:25 Connection from [213.61.222.76]:53953 refused: too many connections
2016-03-11 15:33:27 Connection from [46.23.76.98]:42336 refused: too many connections
2016-03-11 15:33:27 Connection from [91.194.248.147]:37566 refused: too many connections

SMTP 서버가 공격을 받고 있거나 Slowloris와 유사한 것으로 보입니다.

이 문제를 어떻게 해결할 수 있나요?

서버에서는 종속성을 여는 것이 허용되지 않습니다. 우리는 그것을 확인했습니다.

답변1

나는 이 질문을 했고 이제는 그 문제가 해결되었으므로 누군가에게 도움이 될 수 있도록 답변하고 싶었습니다. 문제는 간단하지만 매우 드문 문제이고 근본 원인을 찾기가 어렵습니다.

서로 다른 IP 주소에서 너무 많은 연결을 받으면 DDOS일 수 있다고 생각합니다. 수많은 연결을 분석한 결과 모든 연결이 LinkedIn, Google, Facebook 등과 같은 합법적인 웹사이트에서 온 것임을 확인했습니다.

또한 eth0 또는 eth1 포트에 문제가 있을 수 있다고 생각했지만 그렇지 않습니다.

하루의 디버깅 끝에 우리는 TCP/IP 패킷의 MTU(최대 전송 단위)에 문제가 있음을 발견했습니다. SMTP 서버가 갑자기 크기가 1457보다 큰 모든 패킷을 거부하기 시작했습니다. 따라서 SMTP 서버에 도착하는 대부분의 패킷 크기는 1500입니다. 이러한 패킷은 SMTP 서버에 도달하지 않기 때문에 다른 서버는 계속해서 메시지 전달을 시도합니다.

"IP Addr" -l 1472를 ping하여 문제를 확인했습니다.

실제 문제는 일부 ISP, 일부 네트워크 허브에서는 1457바이트보다 큰 패킷이 거부된다는 것입니다.

ping -s 1472 localhost (linux) (ICMP 헤더용 28바이트, 나머지 페이로드)

관련 정보