在Linux中防御SYN型DOS攻击的方法比较常见的有增大队列SYN最大半连接数,减小超时值,利用SYN cookie技术,过滤可疑的IP地址等常用方法,下面分别进行分析.

• 增大队列SYN最大半连接数

     在Linux中执行命令"sysctl -a|grep net.ipv4.tcp_max_syn_backlog",在返回的"net.ipv4.tcp_max_syn_backlog=256"中显示 Linux队列的最大半连接容量是256.这个默认值对于Web服务器来说是远远不够的,一次简单的SYN攻击就足以将其完全占用.因此,防御DOS攻击最简单的办法就是增大这个默认值,在Linux中执行命令"sysctl -w et.ipv4.tcp_max_syn_backlog=3000",这样就可以将队列SYN最大半连接数容量值改为3000了.

• 减小超时值

    在Linux中建立TCP连接时,在客户端和服务器之间创建握手过程中,当服务器未收到客户端的确认包时,会重发请求包,一直到超时才将此条目从未连接队列是删除,也就是说半连接存在一定的存活时间,超过这个时间,半连接就会自动断开,在上述SYN攻击测试中,当经过较长的的时间后,就会发现一些半连接已经自动断开了.半连接存活时间实际上是系统所有重传次数等待的超时时间之和,这个值越大,半连接数占用的Backlog队列的时间就越长,系统能处理的 SYN请求就越少,因此,缩短超时时间就可以有效防御SYN攻击,这可以通过缩小重传超时时间和减少重传次数来实现.在Linux中默认的重传次数为5 次,总超时时间为3分钟,在Linux中执行命令"sysctl -w net.ipv4.tcp_synack_retries=1",将超时重传次数设置为1.

• 利用SYN cookie来防御DOS攻击

    除了在TCP协议栈中开辟一个内存空间来存储半连接数之外,为避免因为SYN请求数量太多,导致该队列被填满的情况下,Linux服务器仍然可以处理新的 SYN连接,可以利用SYN Cookie技术来处理SYN连接.什么是SYN Cookie呢?SYN Cookie是用一个Cookie来响应TCP SYN请求的,在正常的TCP连接过程中,当服务器接收一个SYN数据包,就会返回一个SYN -ACK包来应答,然后进入TCP -SYN -RECV(半开放连接)状态来等待最后返回的ACK包.服务器用一个数据空间来描述所有未决的连接,然而这个数据空间的大小是有限的,所以攻击者将塞满这个空间,在TCP SYN COOKIE的执行过程中,当服务器收到一个SYN包的时候,他返回一个SYN -ACK包,这个数据包的ACK序列号是经过加密的,它由TCP连接的源地址和端口号,目标地址和端口号,以及一个加密种子经过HASH计算得出的,然后服务器释放所有的状态.如果一个ACK包从客户端返回后,服务器重新计算COOKIE来判断它是不是上个SYN -ACK的返回包.如果是的话,服务器就可以直接进入TCP连接状态并打开连接.这样服务器就可以避免守候半开放连接了,在Linux中执行命令"echo "echo "1" > / proc/sys/net/ipv4/tcp_syncookies"> > /etc/rc_local",这样即可启动SYN Cookie,并将其添加到了Linux的启动文件,这样即使系统重启也不影响SYN Cookie的激活状态.

• 过滤可疑的IP直址

    当客户机对服务器进行攻击时.在服务器上可以进行抓包操作,这样可以对数据包中的IP进行检测,然后再对这些可疑的潮行过滤,从而将其无法正常连接服务器.利用Linux自带的"tcpdump"命令可以实现抓包操作.执行命令"tcpdump -c 1000 -l eth 0 -n dst port 80 > test.txt",就可以在当前目录下创建一个'test.txt"文件,在其中包含大量的网络数据包,通过对该文件的的分析,就很容易得到可疑的客户端IP,之后利用系统自带的"iptables"命令即可对可疑IP进行屏蔽.便如执行命令"iptables -A INPUT -s 219.29.78.79 -d 0/0 -j REJECT",即可禁止"219.29.78.79"的外部主要访问本机所有端口.其中"-j REJECT"参数表示禁止访问.

Tags: syn, dos, syn-cookie, linux

在为Apache+Resin环境添加php支持的时候，php编译安装一切顺利，但是apache不能解析php页面。

发现有这样一些现象：

• 在任意一个404页面中，服务器信息仅显示Resin，而没有Apache
• 注释掉httpd.conf中的Resin条目，php可以被解析

说明apache将任意请求都发送给了Resin，而这个resin3.0不能解析php

检查httpd.conf，将SetHandler caucho-request注释掉，重启apache，php解析正常。

当前的httpd.conf中resin部分：

在Resin非常模糊的联机文档中提到了caucho-request

而在给出的例子中

将caucho-request的范围限定在/foo/

Tags: resin, caucho-request, addhandler, sethandler, php, jsp

PROCESS STATE CODES

For BSD formats and when the stat keyword is used, additional characters may
be displayed:
< high-priority (not nice to other users)
N low-priority (nice to other users)
L has pages locked into memory (for real-time and custom IO)
s is a session leader
l is multi-threaded (using CLONE_THREAD, like NPTL pthreads do)
+ is in the foreground process group

Tags: ps, stat, 状态

apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具，用于编译一个或多个源程序或目标代码文件为动态共享对象，使之可以用LoadModule指令在运行时加载到Apache服务器中。

1. 进入apache源代码的modules目录

2. 运行如下命令自动编译、安装和修改httpd.conf文件，激活mod_proxy模块：

apache path/bin/apxs -c -i -a mod_proxy.c proxy_util.c

选项说明：

3. 如果还需要其他proxy模块如mod_proxy_http、mod_proxy_ftp，则单独

apxs -c -i proxy_http.c
apxs -c -i proxy_ftp.c

Tags: apache, mod, apxs

RMAN具有非常丰富的命令，为这些命令服务的保留字有几十上百个，如allocate、rsync、show、backup等等。

在书写RMAN脚本时，需要特别小心不要用到保留字，否则会导致RMAN-01007错误

以TAG参数为例：

RMAN-00571: ===========================================================
RMAN-00569: =============== ERROR MESSAGE STACK FOLLOWS ===============
RMAN-00571: ===========================================================
RMAN-00558: error encountered while parsing input commands
RMAN-01009: syntax error: found "backup": expecting one of: "double-quoted-string, equal, identifier, single-quoted-string"
RMAN-01007: at line 3 column 5 file: standard input

Starting backup at 13-NOV-08
using channel ORA_DISK_1
channel ORA_DISK_1: starting full datafile backupset
channel ORA_DISK_1: specifying datafile(s) in backupset
input datafile fno=00004 name=/opt/u01/oracle/oradata/mydb/users01.dbf
channel ORA_DISK_1: starting piece 1 at 13-NOV-08
channel ORA_DISK_1: finished piece 1 at 13-NOV-08
piece handle=/oracle/flash_recovery_area/MYDB/backupset/o1_mf_nnndf_BACKUP1_4kq7rcpv_.bkp tag=BACKUP1 comment=NONE
channel ORA_DISK_1: backup set complete, elapsed time: 00:00:01
Finished backup at 13-NOV-08

Starting Control File and SPFILE Autobackup at 13-NOV-08
piece handle=/oracle/flash_recovery_area/MYDB/autobackup/o1_mf_s_670678156_4kq7rfb5_.bkp comment=NONE
Finished Control File and SPFILE Autobackup at 13-NOV-08

RMAN>

Tags: rman, tag, 保留字

将系统由resin 2.1.17升级为resin 3.0.25后，发现大部分JSP不能正常显示，错误都类似：

Caused by: javax.servlet.jsp.JspException: An error occurred while evaluating custom action attribute "value" with value "${user.ID}": Unable to find a value for "ID" in object of class "java.lang.String" using operator "." (null)

这是resin3与jstl的问题，需要将resin自带的jstl1.1禁用。

方法如下 ：
将resin的conf文件中：
<servlet servlet-name="directory" servlet-class="com.caucho.servlets.DirectoryServlet"/>
修改为：
<servlet servlet-name="directory" servlet-class="com.caucho.servlets.DirectoryServlet">
    <init enable="false"/>
</servlet>

在resin的webapp配置中,添加一个<jsp>标签
<web-app id="/test" document-directory="webapps/test">
    <jsp fast-jstl="false"/>      
</web-app>

最后，将JSP文件中
<%@ taglib prefix=’c’ uri=’http://java.sun.com/jstl/core’ %> 
修改为
<%@ taglib prefix=’c’ uri=’http://java.sun.com/jsp/jstl/core’ %> 

现在JSP可以正常显示了

从8.04升级到8.10后，原本正常运行的Eva一登录就崩溃。

Ubuntu源中的Eva已经更新为0.49版本，折衷的解决方法就是回退Eva版本至0.41

Eva 0.41在这里下载

安装完成后系统会提示Eva可更新至0.49，在新立得软件包管理器中，选中Eva，再从软件包菜单中选择“锁定版本”，就可以解除这个提示了。

Tags: ubuntu, 8.10, eva, qq

Tags: awr, 10g, oracle

Oracle Metalink帐号需要购买产品支持服务才可以拥有，而这个服务价格通常是产品价格的18%，非常贵。

DBA notes的Fenng分享了一个好方法：

购买

• Oracle Collaboration Suite，单用户永久License，60美元
• 软件更新License与支持服务，15美元

一共75美元，即可拥有Metalink帐号

Tags: metalink, 廉价, oracle

[oracle@rac01 ~]$ crs_stat -t
Name           Type           Target    State     Host       
------------------------------------------------------------
ora.dppc.db    application    ONLINE    ONLINE    rac01      
ora....c1.inst application    ONLINE    ONLINE    rac01      
ora....c2.inst application    ONLINE    ONLINE    rac02      
ora....01.lsnr application    ONLINE    ONLINE    rac01      
ora.rac01.gsd  application    ONLINE    ONLINE    rac01      
ora.rac01.ons  application    ONLINE    ONLINE    rac01      
ora.rac01.vip  application    ONLINE    ONLINE    rac01      
ora....02.lsnr application    ONLINE    ONLINE    rac02      
ora.rac02.gsd  application    ONLINE    UNKNOWN   rac02      
ora.rac02.ons  application    ONLINE    UNKNOWN   rac02      
ora.rac02.vip  application    ONLINE    ONLINE    rac02      

[oracle@rac01 ~]$ crs_stop ora.rac02.gsd -f
Attempting to stop `ora.rac02.gsd` on member `rac02`
Stop of `ora.rac02.gsd` on member `rac02` succeeded.

[oracle@rac01 ~]$ crs_stop ora.rac02.ons -f
Attempting to stop `ora.rac02.ons` on member `rac02`
Stop of `ora.rac02.ons` on member `rac02` succeeded.

[oracle@rac01 ~]$ srvctl start nodeapps -n rac02

[oracle@rac01 ~]$ crs_stat -t
Name           Type           Target    State     Host       
------------------------------------------------------------
ora.dppc.db    application    ONLINE    ONLINE    rac01      
ora....c1.inst application    ONLINE    ONLINE    rac01      
ora....c2.inst application    ONLINE    ONLINE    rac02      
ora....01.lsnr application    ONLINE    ONLINE    rac01      
ora.rac01.gsd  application    ONLINE    ONLINE    rac01      
ora.rac01.ons  application    ONLINE    ONLINE    rac01      
ora.rac01.vip  application    ONLINE    ONLINE    rac01      
ora....02.lsnr application    ONLINE    ONLINE    rac02      
ora.rac02.gsd  application    ONLINE    ONLINE    rac02      
ora.rac02.ons  application    ONLINE    ONLINE    rac02      
ora.rac02.vip  application    ONLINE    ONLINE    rac02  

Tags: crs_stat, unknown, crs, rac