Apache de repente es muy lento en http y más rápido en https

tag-icon tag-icon apache-2.2 ubuntu http https
Apache de repente es muy lento en http y más rápido en https

Fondo: Tengo Apache 2 ejecutándose en ubuntu. Tiene un uso bajo y se accede principalmente a través de una URL de servicio web desde aplicaciones móviles. Funcionó bien hasta que instalé los certificados SSL. Ahora tengo http y https. Cuando accedo al servidor usando https, obtengo una respuesta bastante rápida (pero probablemente no tan rápida como antes). Cuando uso http, es muy lento.

Lo que probé: Deestecorreo:

  • Soy curl localhostdel host y lleva algún tiempo, lo que significa que no hay problema de enrutamiento.
  • El servidor se ejecuta en una instancia Amazon EC2 y lo administro únicamente yo.

También:

  • Veo que una vez que Apache se ejecuta, crea la cantidad máxima de procesos permitidos, lo que no era el caso antes. Bajé MaxClients a 20 y creo que obtengo respuestas más rápidas, pero aún así lleva más de un minuto y siempre tengo procesos MaxClients Apache.
  • dmesgdevuelve muchos[ 1953.655703] TCP: Possible SYN flooding on port 80. Sending cookies.
  • Cuando hago netstat obtengo muchas entradas con SYN_RECV. ¿Posiblemente un ataque DDoS?
  • En los diagramas de monitoreo de EC2 veo un patrón de "Máximo de entrada de red (Bytes)" alto desde hace 2 días. Por cierto, el servidor aún se está probando, el tráfico real es muy bajo y no consistente.
  • Intenté ir conesteSolución para limitar las conexiones entrantes usando iptables, todavía no tuve suerte, pero lo estoy intentando.

Pregunta: ¿Cual podría ser el problema? ¿Es este un ataque DDoS?

Actualizar: hablé de este problemaaquí. De hecho, fue un ataque DDoS; También se discuten algunas soluciones.

Respuesta1

La próxima vez, quizás quieras usar algo como apachetopo tail -f /var/log/httpd/access_logtener una mejor idea de lo que está pasando. Probablemente habrás visto muchas solicitudes entrantes, muy posiblemente con un patrón reconocible: como rangos de IP específicos o las mismas URL, tal vez intentos de fuerza bruta en algún formulario de inicio de sesión, etc. Es posible que incluso quieras automatizar esto poniendo esas IP se convierte en una regla de bloqueo de iptables si las solicitudes de URL aumentan lo suficiente en un cierto período de tiempo.

información relacionada