11/10/2024 12:58
11/10/2024 13:50
Cliente entrou em contato notificando que nenhuma estação conseguia conectar no sistema, mas internamente o servidor estava normal e o sistema acessando no servidor
Paliativamente foi reiniciado o servidor, mas após análise minuciosa do time de servidores SaaS, verificou-se que existiam 1848 conexões de SYN_RECEIVED e o número não parava de aumentar e essas conexões vinham de um range de IP pela porta 443, o que após algumas pesquisas foi identificado um tipo de ataque simples de negação de conexão porque enchia a pilha de conexões do Windows. Inicialmente foi cogitado o problema de TIME_WAIT, aumentando o número máximo de conexões e reduzindo o tempo de espera do TIME_WAIT conforme artigo Melhorando a performance da rede. Mas ao fazer a documentação encontramos o seguinte cenário:
Como medida de resolução foi adicionado no firewall de borda do datacenter um filtro para limitar as conexões de um único range /24 para resolver o problema.
Estado das conexões após a aplicação do filtro
TCP Connection Issue (SYN received but no SYN/ACK sent back) : r/networking (reddit.com)