Как безопасно проверять доступность внешних сервисов
Ping показывает только, что хост жив на уровне ICMP. Но веб-сервис может быть недоступен из-за проблем с DNS, маршрутизацией или самим приложением.
Health check позволяет проверить три уровня:
1. DNS — можно ли резолвить доменное имя.
2. Сеть / маршруты — пакет доходит до сервера.
3. Сервис / приложение — сервер реально отвечает на запросы.
Проверяем прямо на практике:
⏺ HTTP/HTTPS — проверка ответа сервиса и времени:
⏺ DNS — быстрый резолв имени:
⏺ Маршрут до сервера - видим промежуточные hop’ы:
Ping показывает только, что хост жив на уровне ICMP. Но веб-сервис может быть недоступен из-за проблем с DNS, маршрутизацией или самим приложением.
Чтобы понять, реально ли сервис работает, нужен полноценный health check.
Health check позволяет проверить три уровня:
1. DNS — можно ли резолвить доменное имя.
2. Сеть / маршруты — пакет доходит до сервера.
3. Сервис / приложение — сервер реально отвечает на запросы.
Проверяем прямо на практике:
curl -w "@format.txt" -o /dev/null -s https://example.com
dig +short example.com
traceroute example.com
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤3
📌 Эти и другие интересные темы мы разбираем на канале Docker Ninja.
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5👍3❤2
Если VDI хочется, а документацию читать нет...
Подключайтесь 27 ноября в 11:00 и смотрите в прямом эфире, как системный инженер Orion soft Дмитрий Руссу проведет ручное и автоматизированное развертывание платформы виртуализации рабочих столов (VDI) и приложений — Termit.
✅ Покажем пошаговый «рецепт» развертывания и настройки Termit за 30 мин.
✅ Поделимся техническими лайфхаками
✅ Ответим на вопросы о начале работы с Termit
Только у участников вебинара будет возможность получить специальный CookBook с подробной инструкцией по развертыванию Termit, а также шаблоны для автоматического развертывания.
📌Регистрация
#реклама
О рекламодателе
Подключайтесь 27 ноября в 11:00 и смотрите в прямом эфире, как системный инженер Orion soft Дмитрий Руссу проведет ручное и автоматизированное развертывание платформы виртуализации рабочих столов (VDI) и приложений — Termit.
✅ Покажем пошаговый «рецепт» развертывания и настройки Termit за 30 мин.
✅ Поделимся техническими лайфхаками
✅ Ответим на вопросы о начале работы с Termit
Только у участников вебинара будет возможность получить специальный CookBook с подробной инструкцией по развертыванию Termit, а также шаблоны для автоматического развертывания.
📌Регистрация
#реклама
О рекламодателе
❤2🐳1
Неверно настроенный Split DNS может привести к…
Anonymous Quiz
15%
Периодическому сбою DHCP‑лизинга для внутренних клиентов
35%
Утечке внутренних FQDN наружу через публичные резолверы
24%
Полной остановке Zone Transfer между мастер‑сервером и слейвом
26%
Потере PTR‑записей в частной зоне и сбою обратного резолвинга
👍7❤3👎1
Митап для системных администраторов и девопсов
Встречаемся, чтобы обсудить насущные вопросы про:
- контейнеры,
- инструменты тестирования инфраструктурного кода,
- автоматизацию без боли.
🗓27 ноября, 18:30
📍В офисе Selectel в Санкт-Петербурге или онлайн
Смотрите программу и регистрируйтесь: https://slc.tl/khudq
Чтобы не пропустить митап и узнавать о вебинарах, воркшопах и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFJ5qEDN
Встречаемся, чтобы обсудить насущные вопросы про:
- контейнеры,
- инструменты тестирования инфраструктурного кода,
- автоматизацию без боли.
🗓27 ноября, 18:30
📍В офисе Selectel в Санкт-Петербурге или онлайн
Смотрите программу и регистрируйтесь: https://slc.tl/khudq
Чтобы не пропустить митап и узнавать о вебинарах, воркшопах и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО "Селектел". erid:2W5zFJ5qEDN
❤1👍1
Как отследить неожиданное потребление CPU на Linux
Иногда процесс вроде «спит», но сервер внезапно начинает «прыгать» по CPU.
Чаще всего виноват один поток, застрявшая функция или скрытая задача внутри демона.
Как проверять:
1️⃣ Проверка потоков конкретного процесса
-H показывает каждый поток отдельно. Легко увидеть, какой именно поток гоняет CPU.
2️⃣ Подробная статистика по потокам
Отображает использование CPU каждым потоком каждую секунду.
3️⃣ Профилирование функций
Позволяет увидеть, какие функции внутри процесса используют процессор больше всего. Особенно полезно для сложных демонов и сервисов, где нагрузка распределена по потокам.
⭐️ Как использовать на практике
⏺ Для оперативной диагностики на продакшн-сервере - top -H и pidstat чаще всего хватает.
⏺ Для поиска узких мест или багов в демонах - подключать perf top, анализировать горячие функции.
⏺ После выявления «жирного» потока можно перезапустить или убить его, а затем проверить логи демона. Часто такие пики происходят из-за зацикливания или debug-режима.
Иногда процесс вроде «спит», но сервер внезапно начинает «прыгать» по CPU.
Чаще всего виноват один поток, застрявшая функция или скрытая задача внутри демона.
Как проверять:
top -H -p <PID>
-H показывает каждый поток отдельно. Легко увидеть, какой именно поток гоняет CPU.
pidstat 1 -p <PID>
Отображает использование CPU каждым потоком каждую секунду.
perf top -p <PID>
Позволяет увидеть, какие функции внутри процесса используют процессор больше всего. Особенно полезно для сложных демонов и сервисов, где нагрузка распределена по потокам.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤5
«Хочу разобраться в LLM, но всё нет времени»
Наверняка у многих из вас есть идеи собственного AI-проекта, варианты интеграции LLM в продукты компании или желание работать поближе с ИИ.
Но когда дело доходит до изучения материалов, становится непонятно, с чего начать и как потратить минимум времени на обучение.
Если узнаёте в этом себя, то для вас команда DL-инженеров из DeepSchool создала курс «LLM Start» — обучение для сисадминов, DevOps-инженеров, разработчиков и других IT-специалистов без опыта работы с LLM. Курс короткий, состоит из 6 тем и финального проекта. Лекции ведут опытные инженеры. А чтобы попрактиковаться без дополнительных усилий, задания выполняются в no-code платформе n8n.
На курсе вы:
— разберётесь в теории работы нейросетей и LLM в частности
— освоите основные трюки промпт-инжениринга
— научитесь собирать RAG
— узнаете как создавать агентов и мультиагентные системы
— разберётесь в многообразии моделей и провайдеров
Всё это вы изучите за 2 месяца и сможете собирать простые пайплайны на платформе n8n, которая отлично подходит для низконагруженных систем, внутреннего использования и проверки гипотез. Но поняв основные принципы работы с LLM, потом вы без проблем сможете собрать боевые версии цепочек на своём стэке.
🔥 До 23 ноября вы можете присоединиться со скидкой 25%!
Изучайте подробности на сайте и оставляйте заявку!
Наверняка у многих из вас есть идеи собственного AI-проекта, варианты интеграции LLM в продукты компании или желание работать поближе с ИИ.
Но когда дело доходит до изучения материалов, становится непонятно, с чего начать и как потратить минимум времени на обучение.
Если узнаёте в этом себя, то для вас команда DL-инженеров из DeepSchool создала курс «LLM Start» — обучение для сисадминов, DevOps-инженеров, разработчиков и других IT-специалистов без опыта работы с LLM. Курс короткий, состоит из 6 тем и финального проекта. Лекции ведут опытные инженеры. А чтобы попрактиковаться без дополнительных усилий, задания выполняются в no-code платформе n8n.
На курсе вы:
— разберётесь в теории работы нейросетей и LLM в частности
— освоите основные трюки промпт-инжениринга
— научитесь собирать RAG
— узнаете как создавать агентов и мультиагентные системы
— разберётесь в многообразии моделей и провайдеров
Всё это вы изучите за 2 месяца и сможете собирать простые пайплайны на платформе n8n, которая отлично подходит для низконагруженных систем, внутреннего использования и проверки гипотез. Но поняв основные принципы работы с LLM, потом вы без проблем сможете собрать боевые версии цепочек на своём стэке.
🔥 До 23 ноября вы можете присоединиться со скидкой 25%!
Изучайте подробности на сайте и оставляйте заявку!
deepschool.ru
Курс по LLM для IT-специалистов
Научитесь использовать LLM для решения бизнес-задач: чат-боты, ответы по базе, ИИ-сотрудники
❤5🔥2
Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Buddy allocator, напротив, управляет страницами памяти переменного размера. Он эффективно выделяет большие блоки памяти, но плохо подходит для частого создания мелких структур, так как приводит к фрагментации и затратам на обработку.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🤔2👍1
Присоединяйтесь к митапу «СУБД глазами инфраструктурщиков», чтобы обсудить всё, что волнует сообщество DBA сегодня
Участников ждут практические доклады, живое общение и обмен опытом с экспертами, а ещё актуальные инсайты о том, куда движется рынок СУБД.
В программе:
🔷 PostgreSQL без валидола: сборка кластера вручную
🔷 Автоматизация кластеров Postgre
🔷 Как мы перевезли Oracle с Solaris SPARC на x86
🔷 Масштабирование и отказоустойчивость YDB — 9 нод, банковская нагрузка, падение дата-центра, перезапуск кластера под нагрузкой без простоя.
🔷 Круглый стол «Масштабирование СУБД: реальные проблемы и перспективы»
Участвуют эксперты из: «Инфосистемы Джет», Яндекс (YDB), Arenadata, СберТех, Postgres Professional, Газинформсервис
Для кого: CIO, CTO, ИТ-директоров, архитекторов, DevOps, DBA
Когда: 25 ноября, 16:00–19:00 (МСК)
Где: офлайн и онлайн
ДЕТАЛИ И РЕГИСТРАЦИЯ
Участников ждут практические доклады, живое общение и обмен опытом с экспертами, а ещё актуальные инсайты о том, куда движется рынок СУБД.
В программе:
🔷 PostgreSQL без валидола: сборка кластера вручную
🔷 Автоматизация кластеров Postgre
🔷 Как мы перевезли Oracle с Solaris SPARC на x86
🔷 Масштабирование и отказоустойчивость YDB — 9 нод, банковская нагрузка, падение дата-центра, перезапуск кластера под нагрузкой без простоя.
🔷 Круглый стол «Масштабирование СУБД: реальные проблемы и перспективы»
Участвуют эксперты из: «Инфосистемы Джет», Яндекс (YDB), Arenadata, СберТех, Postgres Professional, Газинформсервис
Для кого: CIO, CTO, ИТ-директоров, архитекторов, DevOps, DBA
Когда: 25 ноября, 16:00–19:00 (МСК)
Где: офлайн и онлайн
ДЕТАЛИ И РЕГИСТРАЦИЯ
❤1
Почему nginx начинает отдавать 502, хотя backend жив
Это один из самых частых «фантомных» багов в проде: backend работает, процессы на месте, порты слушают - а nginx упорно шлёт 502.
Секрет почти всегда в том, как backend отвечает, а не в том, что он «лежит».
Что происходит на самом деле:
nginx пытается подключиться к upstream, но соединение не укладывается в его ожидания - по времени, по количеству воркеров или по лимитам системы.
Как проверить:
Типичные причины:
⏺ Backend отвечает слишком медленно.
nginx режет по таймауту, даже если backend в итоге что-то вернул.
⏺ У backend мало воркеров.
Например, Gunicorn запущен с 1 worker — он занят обработкой одного запроса, остальные получают 502.
⏺ Нехватка файловых дескрипторов (open files).
nginx или backend не могут открыть новое соединение → 502.
⏺ Backend закрывает соединения «грязно».
nginx ждёт корректный FIN/ACK, а получает RST → ошибка upstream.
⏺ TCP или firewall дропает локальные соединения.
Да, даже на 127.0.0.1 такое случается при агрессивных правилах.
💡 Как временно «подлечить»:
В nginx.conf поднять таймауты:
Проверить лимиты:
и увеличить:
➖ Для Gunicorn, uvicorn, uWSGI — увеличить число воркеров.
➖ Для Docker/K8s — проверить readiness/liveness probes, чтобы нагрузка не шла на умирающие поды.
Это один из самых частых «фантомных» багов в проде: backend работает, процессы на месте, порты слушают - а nginx упорно шлёт 502.
Секрет почти всегда в том, как backend отвечает, а не в том, что он «лежит».
Что происходит на самом деле:
nginx пытается подключиться к upstream, но соединение не укладывается в его ожидания - по времени, по количеству воркеров или по лимитам системы.
Как проверить:
# Проверяем, отвечает ли backend напрямую
curl -I http://127.0.0.1:8000
# Смотрим ошибки nginx в момент проблемы
journalctl -u nginx -f
# Проверяем, не упёрся ли backend в лимиты соединений
netstat -plant | grep :8000
Типичные причины:
nginx режет по таймауту, даже если backend в итоге что-то вернул.
Например, Gunicorn запущен с 1 worker — он занят обработкой одного запроса, остальные получают 502.
nginx или backend не могут открыть новое соединение → 502.
nginx ждёт корректный FIN/ACK, а получает RST → ошибка upstream.
Да, даже на 127.0.0.1 такое случается при агрессивных правилах.
В nginx.conf поднять таймауты:
proxy_connect_timeout 10s;
proxy_read_timeout 60s;
proxy_send_timeout 60s;
Проверить лимиты:
ulimit -n
и увеличить:
ulimit -n 65535
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤9👍3
Факторы выгорания разработчиков open source
Основные причины: нехватка финансирования, токсичное поведение пользователей, высокая нагрузка, рутина и постоянная необходимость доказывать компетентность.
Это снижает мотивацию и качество сопровождения проектов.
Решения просты, но редки: регулярная оплата, культура признания, наставничество и поддержка сообщества.
Исследование Эдинбургского университета выявило, что 73% разработчиков открытого ПО сталкиваются с выгоранием.
Основные причины: нехватка финансирования, токсичное поведение пользователей, высокая нагрузка, рутина и постоянная необходимость доказывать компетентность.
Это снижает мотивацию и качество сопровождения проектов.
Решения просты, но редки: регулярная оплата, культура признания, наставничество и поддержка сообщества.
❤5👍2
Мигрируем на VMmanager за счет вендора
Коллеги, все, кто столкнулся с необходимостью мигрировать с российских платформ виртуализации, знают, сколько это стресса, рисков и затрат.
Так вот, ребята из ISPsystem, кажется, предложили элегантное решение. Их акция «Мигрируем VMeste» — это готовый пакет "миграция без боли": безопасный переезд с российской платформы виртуализации на VMmanager (Лучший продукт серверной виртуализации по версии CNews Awards)
Они снимают ключевые барьеры:
● Финансовый: Лицензия VMmanager на 12 месяцев по стоимости техподдержки.
● Технический: Полное сопровождение процесса их экспертами.
● Операционный: В подарок дают BILLmanager Enterprise, чтобы не пришлось перестраивать все процессы управления с нуля.
Фактически, они берут на себя все сложности и большую часть затрат. Вам остается купить только техподдержку на первый год.
Акция временная (регистрация до конца 2025 года), так что если тема актуальна — советую изучить.
Подробности по ссылке: https://clck.ru/3QUQys&erid=2W5zFHzDkVn
Реклама. АО «Экзософт»
Коллеги, все, кто столкнулся с необходимостью мигрировать с российских платформ виртуализации, знают, сколько это стресса, рисков и затрат.
Так вот, ребята из ISPsystem, кажется, предложили элегантное решение. Их акция «Мигрируем VMeste» — это готовый пакет "миграция без боли": безопасный переезд с российской платформы виртуализации на VMmanager (Лучший продукт серверной виртуализации по версии CNews Awards)
Они снимают ключевые барьеры:
● Финансовый: Лицензия VMmanager на 12 месяцев по стоимости техподдержки.
● Технический: Полное сопровождение процесса их экспертами.
● Операционный: В подарок дают BILLmanager Enterprise, чтобы не пришлось перестраивать все процессы управления с нуля.
Фактически, они берут на себя все сложности и большую часть затрат. Вам остается купить только техподдержку на первый год.
Акция временная (регистрация до конца 2025 года), так что если тема актуальна — советую изучить.
Подробности по ссылке: https://clck.ru/3QUQys&erid=2W5zFHzDkVn
Реклама. АО «Экзософт»
👎2❤1
Почему сервер внезапно начал писать гигабайты логов за час
Если логи раздуваются невероятными темпами, то чаще всего это не «одна большая ошибка», а flapping - сервис бесконечно перезапускается в цикле:
поднялся → упал → поднялся → снова упал → логов - тонна.
🛠 Как быстро проверить, что происходит
1️⃣ Смотреть логи сервиса в реальном времени:
Если каждые несколько секунд видишь:
Main process exited, code=exited, status=1/FAILURE — это оно.
2️⃣ Проверить счётчики неудачных запусков:
Если в статусе куча перезапусков за последние минуты — флапает.
3️⃣ Посмотреть, что триггерит краш:
– зависимость умерла
– порт занят
– неправильный конфиг
– не хватает памяти / OOM-killer
– обновление пакета перезапустило зависимый модуль
Глубже копать можно так:
✋ Как остановить разрастание логов прямо сейчас
Чтобы не убить диск:
Это даст передышку для диагностики.
🛡 Как исправить flapping навсегда
В unit-файле добавь ограничения перезапусков:
Если логи раздуваются невероятными темпами, то чаще всего это не «одна большая ошибка», а flapping - сервис бесконечно перезапускается в цикле:
поднялся → упал → поднялся → снова упал → логов - тонна.
journalctl -u <service> -f
Если каждые несколько секунд видишь:
Main process exited, code=exited, status=1/FAILURE — это оно.
systemctl status <service>
systemctl reset-failed
Если в статусе куча перезапусков за последние минуты — флапает.
– зависимость умерла
– порт занят
– неправильный конфиг
– не хватает памяти / OOM-killer
– обновление пакета перезапустило зависимый модуль
Глубже копать можно так:
dmesg | grep -i oom
lsof -i :<port>
Чтобы не убить диск:
systemctl stop <service>
Это даст передышку для диагностики.
В unit-файле добавь ограничения перезапусков:
StartLimitIntervalSec=300
StartLimitBurst=3
RestartSec=5
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤6
Ветер перемен: представляем новую систему выпуска релизов UserGate NGFW
В основе — лучшие практики международных вендоров, принятые в мировой ИТ/ИБ-индустрии.
Все подробности расскажем на вебинаре. В программе:
— Что побудило нас к изменениям
— Новая система релизов: FR, LTS, LTS (GD)
— Что ещё мы делаем для повышения стабильности
— Первый кандидат на LTS и что в нём нового
В завершении ответим на ваши вопросы.
Вебинар будет интересен как техническим специалистам, так и руководителям ИТ- и ИБ-департаментов.
Спикеры:
— Кирилл Прямов, менеджер по развитию NGFW
— Михаил Кадер, архитектор ИБ, R&D
Когда: 27 ноября, четверг, 10:00 (МСК).
Увидимся в эфире!
Зарегистрироваться
В основе — лучшие практики международных вендоров, принятые в мировой ИТ/ИБ-индустрии.
Все подробности расскажем на вебинаре. В программе:
— Что побудило нас к изменениям
— Новая система релизов: FR, LTS, LTS (GD)
— Что ещё мы делаем для повышения стабильности
— Первый кандидат на LTS и что в нём нового
В завершении ответим на ваши вопросы.
Вебинар будет интересен как техническим специалистам, так и руководителям ИТ- и ИБ-департаментов.
Спикеры:
— Кирилл Прямов, менеджер по развитию NGFW
— Михаил Кадер, архитектор ИБ, R&D
Когда: 27 ноября, четверг, 10:00 (МСК).
Увидимся в эфире!
Зарегистрироваться
❤1👎1🤡1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14❤3🔥3
Forwarded from IT-KB 🤖
Как и обещали проводим следующий розыгрыш для наших подписчиков 🎉
В этот раз тоже всё очень просто:
1.✅ @ITKB_channel
2. Нажать "Участвовать"
P.S.в следующий раз обязательно отметим 🪙 самых преданных подписчиков, которые на продолжительной основе находятся вместе с нами❤️
Всем удачи и огромное спасибо за то, что Вы с нами!🤗
В этот раз тоже всё очень просто:
1.
2. Нажать "Участвовать"
7 декабря 2025 года 10 случайно выбранных системой подписчиков получат 1000 р.
P.S.
Всем удачи и огромное спасибо за то, что Вы с нами!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3💯3🤝2😁1🎄1
Вы обновили EnvironmentFile, но сервис после перезапуска использует старые значения. Чаще всего причина в…
Anonymous Quiz
6%
Использовании journalctl вместо syslog
13%
Неверном формате переменных через пробел
79%
Наличии директивы Environment= внутри unit-файла, перетирающей значения
2%
Параметре KillMode=none
❤7👍3
📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена»
Уже пишете код или администрируете серверы и хотите перейти на следующий уровень? Этот курс поможет уверенно войти в DevOps.
• Полный путь от Linux и сетей до Kubernetes: Docker, Git, GitLab CI/CD, Terraform, Ansible, Prometheus и Grafana
• Практика на реальных кейсах: настраиваем пайплайн, контейнеризацию и инфраструктуру кодом, выкатываем сервисы
• 180+ интерактивных заданий с автопроверкой — конфиги, манифесты прямо в браузере, в любое удобное время
• Итоговый pet-project: к финалу курса у вас будет рабочая инфраструктура с контейнерами, CI/CD и мониторингом
🎓 Сертификат по завершении — добавьте его в резюме или профиль LinkedIn
🚀 Прокачайте DevOps с пользой и удовольствием. Начните уже сегодня и получите скидку 25%, которая действительна в течение 48 часов
👉 Пройти курс на Stepik
Уже пишете код или администрируете серверы и хотите перейти на следующий уровень? Этот курс поможет уверенно войти в DevOps.
• Полный путь от Linux и сетей до Kubernetes: Docker, Git, GitLab CI/CD, Terraform, Ansible, Prometheus и Grafana
• Практика на реальных кейсах: настраиваем пайплайн, контейнеризацию и инфраструктуру кодом, выкатываем сервисы
• 180+ интерактивных заданий с автопроверкой — конфиги, манифесты прямо в браузере, в любое удобное время
• Итоговый pet-project: к финалу курса у вас будет рабочая инфраструктура с контейнерами, CI/CD и мониторингом
🎓 Сертификат по завершении — добавьте его в резюме или профиль LinkedIn
🚀 Прокачайте DevOps с пользой и удовольствием. Начните уже сегодня и получите скидку 25%, которая действительна в течение 48 часов
👉 Пройти курс на Stepik
🔥3❤2👎2🤣2🤡1
Как понять, что на сервере началось «TCP-обезвоживание»
Так называют ситуацию, когда у сервера забивается очередь half-open соединений — те, что застряли на стадии SYN → SYN/ACK, но не получили финальный ACK.
При большом количестве таких полуоткрытых коннектов сервер начинает «захлёбываться» и перестаёт принимать новые.
Как проверить, что очередь переполняется
1️⃣ Быстрый снимок состояния TCP:
Смотри на строки вида:
Если SYN-RECV растёт до сотен/тысяч — сервер близок к исчерпанию backlog.
2️⃣ Узнать лимит очереди:
Обычно это 128–1024.
Если half-open растут быстрее, чем сервер успевает их обрабатывать - начинается «обезвоживание».
🛠 Дополнительная диагностика
Посмотреть реальный backlog у сокета:
Смотри на recv-q и send-q — если recv-q забит под завязку, система физически не успевает завершать рукопожатия.
Проверить, есть ли DoS-подобная активность:
или фильтр по IP:
Если десятки/сотни SYN идут с одного диапазона - это уже картина атаки.
Так называют ситуацию, когда у сервера забивается очередь half-open соединений — те, что застряли на стадии SYN → SYN/ACK, но не получили финальный ACK.
При большом количестве таких полуоткрытых коннектов сервер начинает «захлёбываться» и перестаёт принимать новые.
Как проверить, что очередь переполняется
ss -s
Смотри на строки вида:
TCP: ...
...
1323 SYN-SENT
987 SYN-RECV
Если SYN-RECV растёт до сотен/тысяч — сервер близок к исчерпанию backlog.
cat /proc/sys/net/ipv4/tcp_max_syn_backlog
Обычно это 128–1024.
Если half-open растут быстрее, чем сервер успевает их обрабатывать - начинается «обезвоживание».
Посмотреть реальный backlog у сокета:
ss -lnt
Смотри на recv-q и send-q — если recv-q забит под завязку, система физически не успевает завершать рукопожатия.
Проверить, есть ли DoS-подобная активность:
watch -n1 "netstat -ant | grep SYN"
или фильтр по IP:
netstat -ant | awk '/SYN_RECV/ {print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | headЕсли десятки/сотни SYN идут с одного диапазона - это уже картина атаки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4👎1
K2 Cloud собирает сетевых инженеров на митап 🌐
28 ноября эксперты из K2 Cloud, Positive Technologies, Avitotech, Wildberries & Russ и Точка Банка встретятся на митапе «Поговорим про сети»
Что будем делать:
— разберем метрики, которые спасают продукт;
— научимся «гадать» по сетевым пакетам;
— сыграем в сетевую версию игры «100 к 1».
Опыт из очень разных инфраструктур и LinkMeUp в роли ведущего — регистрация по ссылке
28 ноября эксперты из K2 Cloud, Positive Technologies, Avitotech, Wildberries & Russ и Точка Банка встретятся на митапе «Поговорим про сети»
Что будем делать:
— разберем метрики, которые спасают продукт;
— научимся «гадать» по сетевым пакетам;
— сыграем в сетевую версию игры «100 к 1».
Опыт из очень разных инфраструктур и LinkMeUp в роли ведущего — регистрация по ссылке
❤1