负载均衡 实时并发连接数很高,但是实际后端又没什么量。http 后端。 这种情况下,是有恶意用户,只建连,不发请求? 如果是的话,该怎么在负载均衡上判断呢? 负载均衡上只有 7 层日志,这 建立连接 的所在的 4 层看不到。
如果想验证这种情况,我该如何做呢?
1
yaocf 4 天前 via Android
tcpdump ,然后用表达式筛选。
|
2
GeekGao 4 天前
LB 上如果没有 ss 、netstat 的权限吗? 那 pcap 采样数据有吗?
如果啥都没有,那很难排查了。 |
3
Ipsum 4 天前 via Android
看一下是不是网络队列满了?一般做负载均衡的服务器,内核参数要调优的。
|
4
jasonyang9 4 天前 via Android
haproxy 本身就有这种防范机制,slowloris attack ,用 stick table 记录和筛选
|
5
duck2 4 天前
软的还是硬件 slb ,可能的话,趁着发版或者特殊时间重启后观察下,不影响使用的话,应该问题不大,或者抓包看看
|