ddos web port

Проверяем количество максимальных соединений и уже созданных

• for pid in `pidof nginx`; do echo "$(< /proc/$pid/cmdline)"; egrep 'files|Limit' /proc/$pid/limits; echo "Currently open files: $(ls -1 /proc/$pid/fd | wc -l)"; echo; done

Вывод:

nginx: worker process
Limit                     Soft Limit           Hard Limit           Units   
Max open files            1024                 4096                 files   
Currently open files: 1024
nginx: master process /usr/sbin/nginx
Limit                     Soft Limit           Hard Limit           Units   
Max open files            1024                 4096                 files   
Currently open files: 18

Тут Max open files - число максимально возможных процессов. 

Если действительно нужно увеличить:

Устанавливается в /etc/nginx/nginx.conf

параметрами

worker_rlimit_nofile 1024;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid; 

events {
worker_connections 1024;
}

Если добавить просто  worker_rlimit_nofile, то браузер будет ругаться на настройки ssl, а если только worker_connections изменить, то nginx укажет, что max все равно 1024

Ddos
Если увеличиваем и все "съедает" смотрим что ломится по портам web

• tcpdump -i eth1.1000 port 80 -n

Так выглядит атака на 80 порт

При этом в логах nginx только "Too many open files"

блочим негодяя

• iptables -I INPUT -s 10.10.10.10 -j DROP

и добавляем это правило в фаервол

• iptables -A INPUT -s 10.10.10.10 -j DROP