NewRelicで監視しているサーバから
Alert open: unable to ping hogehoge.jp on 'fugafuga'
(監視条件:Downtime:Alert when any ping URL is unresponsive for 1 minutes)
が届いてて、該当時間帯の/var/log/messagesを見ると以下のメッセージが確認された。
Feb xx xx:xx:xx fuga kernel: possible SYN flooding on port 80. Sending cookies.
こちらによれば
小岩以上アキバ未満~記憶のディザスター~: CentOS6などでdmesgにpossible SYN flooding on port(SYN flooding警告)が出た場合の対策方法を考えてみるテスト
「大量の正常アクセス、またはDoS攻撃」のどっちか、だそう。
→該当時間帯は確かにアクセス集中が来てて、これがSYN floodingと判定された?
アクセス集中の結果、待ち状態の接続が多くなり、OSがSYN flood attackを受けている可能性ありと判断して、アクセスをSending SYN cookies モードに変更したことが原因で、NewRelicからの監視がコケた、ということらしい。
