Во всех поддерживаемых ветках FreeBSD устранена (https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ju...) неприятная ошибка, которая может быть использована для совершения DoS-атаки, проявляющейся в исчерпании свободных сокетов и невозможности установить новое соединение. После обработки определённым образом оформленных пакетов, соединения не закрываются, а вечно остаются в состоянии LAST_ACK, что приводит к накоплению незавершённых соединений и исчерпанию используемых для обработки TCP-соединения структур данных.

При редком стечении обстоятельств проблема также может проявляется при обработке обычного сетевого трафика - в один прекрасный момент соединения начинают оставаться в состоянии LAST_ACK. В частности, начиная с FreeBSD 6 похожий эффект проявлялся (http://mc-notes.blogspot.ru/2008/04/opennet.html) на сервере opennet.ru примерно раз в полгода. Предпринятые около семи лет назад попытки диагностики (https://www.opennet.ru/test/crash/) не принесли успеха, поэтому для защиты был подготовлен скрипт, перезагружающий сервер при обнаружении зависания большого числа соединений.

Зависшие соединения также можно очистить командой tcpdrop. Например, для чистки соединений, для которых последняя активность наблюдалась более 100 секунд назад, можно использовать команду:

<font color="#461b7e">
   netstat -nxp tcp | awk '{ if (int($NF) > 100) print "tcpdrop " $4 " " $5 }'
</font>

URL: https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ju...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42643