<div dir="ltr">Similarly, if you have the capability in your compute gear you could do SR-IOV and push the problem entirely into the instance (but then you miss out on Neutron secgroups and have to rely entirely on in-instance firewalls).<div><br></div><div>Cheers,</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 25 October 2017 at 01:41, Jeremy Stanley <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 2017-10-24 20:18:30 +0900 (+0900), Jean-Philippe Méthot wrote:<br>
> We’ve just recently been hit on by a low-level DDoS on one of our<br>
> compute nodes. The attack was fulling our conntrack table while<br>
> having no noticeable impact on our server load, which is why it<br>
> took us a while to detect it. Is there any recommended practice<br>
> regarding server configuration to reduce the impact of a DDoS on<br>
> the whole compute node and thus, prevent it from going down? I<br>
> understand that increasing the size of the conntrack table is one,<br>
> but outside of that?<br>
<br>
</span>You might want to look into using iptables -j REJECT -m connlimit<br>
--connlimit-above some threshold with matches for the individual<br>
ports' addresses... I'm not a heavy on this end of operations but<br>
others here probably know how to add hooks for something like that.<br>
Of course this only moves the denial of service down to the<br>
individual instance being targeted or used rather than knocking the<br>
entire compute node offline (hopefully anyway), and is no substitute<br>
for actual attack mitigation devices/services inline on the network.<br>
<span class="HOEnZb"><font color="#888888">--<br>
Jeremy Stanley<br>
</font></span><br>______________________________<wbr>_________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.<wbr>openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-operators</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Cheers,<br>~Blairo</div>
</div>