引用GPT3.5回答:

SYN 洪水攻击(SYN flooding)的情况。SYN 洪水攻击是一种常见的网络攻击方式,攻击者发送大量伪造的 TCP 连接请求(SYN 包),导致服务器资源耗尽或网络拥塞。

内核检测到可能的 SYN 洪水攻击后,会采取一些措施来应对,其中之一是发送 cookies。TCP SYN cookies 是一种用于防止 SYN 洪水攻击的技术,它允许服务器在遭受 SYN 洪水攻击时继续处理连接请求,而无需维护半开连接的状态。

它是一种常见的网络攻击类型,旨在使服务器不可用。在这种攻击中,攻击者发送大量伪造的 SYN 数据包到服务器上,使服务器无法处理所有这些连接请求,从而耗尽其资源。

解决方案

现象:

Mar 5 18:04:28 ybh83aa9pnppbp kernel: TCP: request_sock_TCP: Possible SYN flooding on port 22. Sending cookies. Check SNMP counters.

这个是遭受到了 SYN 洪水攻击(SYN flooding)
您对22端口做个白名单限制就行了
或者使用这个工具进行防御这种攻击
https://github.com/fail2ban/fail2ban

引用GPT3.5回答:

这个错误表明你的Linux服务器可能受到了 SYN 洪水攻击,它是一种常见的网络攻击类型,旨在使服务器不可用。在这种攻击中,攻击者发送大量伪造的 SYN 数据包到服务器上,使服务器无法处理所有这些连接请求,从而耗尽其资源。

要解决这个问题,你可以采取以下措施:

  1. 增加 SYN 收队列的大小:通过调整内核参数,增加服务器上 SYN 收队列的大小,使其能够处理更多的连接请求。你可以通过修改 /proc/sys/net/ipv4/tcp_max_syn_backlog 参数来实现。例如,可以使用以下命令将队列大小增加到 1024:

    1
    sysctl -w net.ipv4.tcp_max_syn_backlog=1024

  2. 配置防火墙:使用防火墙来过滤来自外部网络的恶意流量。可以配置防火墙规则,限制每个 IP 地址对 SSH 端口的连接速率,或者使用工具如 Fail2Ban 来自动检测并封锁恶意 IP 地址。

  3. 使用 SYN Cookie:启用 SYN Cookie 可以防止服务器被 SYN 洪水攻击所拒绝服务。这个选项会在服务器端在收到 SYN 请求时不分配资源,而是使用一个加密的 Cookie 发送给客户端。只有当客户端返回带有正确 Cookie 的 ACK 请求时,服务器才会分配资源并完成 TCP 握手。你可以通过以下命令启用 SYN Cookie:

    1
    sysctl -w net.ipv4.tcp_syncookies=1

  4. 更新系统和软件:确保你的系统和所有安全相关的软件都是最新的版本,因为厂商通常会修复已知的漏洞和安全问题。

  5. 监控网络流量:定期监控服务器上的网络流量,并在检测到异常流量时及时采取行动。

  6. 限制 SSH 访问:如果可能,尝试限制 SSH 访问只允许来自特定 IP 地址范围的连接,以减少服务器受到攻击的风险。

如果以上措施都不能解决问题,你可能需要进一步的调查和分析,可能需要与网络安全专家合作,以找出更深层次的解决方案。

fail2ban安装及使用参考

Fail2ban安装及配置
Fail2ban安装及配置压缩包方式安装
CentOS7下安装和使用Fail2ban - 简书 (jianshu.com)