Перейти к содержимому
Калькуляторы

V@No

Пользователи
  • Публикации

    28
  • Зарегистрирован

  • Посещение

О V@No

  • Звание
    Абитуриент
  1. по анализу трафика немного нашел сходство, пробую фильтровать ТСР трафик по сигнатуре iptables -I FORWARD 8 -p tcp -m tcp -m string --hex-string "|020405b401030303|" --algo kmp --from 40 --to 48 -j DROP ----- Test faild... :( не помогло.... перекрыл кислород многим сайтам...
  2. Сервер для атаки вечно меняется, при этом пошел уже TCP трафик, и как боротся мне пока не ясно, кроме как в ручную блочить, при этом сервера доступа просто уходят в 100% загрузку ядра, и трафик через него весь падает.... 14:46:44.710737 IP 10.4.72.41 > 208.43.224.60: ICMP type-#252, length 1032 0x0000: 4500 041c e5ca 0000 7f01 4f81 0a04 4829 E.........O...H) 0x0010: d02b e03c fc4f 0000 c700 0100 6f6f 6f6f .+.<.O......oooo 0x0020: 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f 6f6f oooooooooooooooo 0x0030: 6f6f 6f6f 6f6f oooooo 14:46:44.710738 IP 10.4.72.41.3577 > 208.43.224.60.1999: S 520672062:520672062(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]> 0x0000: 4500 0040 e5cb 4000 2f06 6357 0a04 4829 E..@..@./.cW..H) 0x0010: d02b e03c 0df9 07cf 1f08 d33e 0000 0000 .+.<.......>.... 0x0020: b002 ffff 2b5a 0000 0204 05b4 0103 0303 ....+Z.......... 0x0030: 0101 080a 0000 ...... 14:46:44.710942 IP 10.4.72.41 > 208.43.224.60: ICMP #84 179.179.179.179 unreachable, length 1032 0x0000: 4500 041c e5cc 0000 7f01 4f7f 0a04 4829 E.........O...H) 0x0010: d02b e03c 0354 0000 5a00 0100 b3b3 b3b3 .+.<.T..Z....... 0x0020: b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 b3b3 ................ 0x0030: b3b3 b3b3 b3b3 ...... 14:46:44.711245 IP 10.4.72.41 > 208.43.224.60: ICMP type-#197, length 1032 0x0000: 4500 041c e5cd 0000 7f01 4f7e 0a04 4829 E.........O~..H) 0x0010: d02b e03c c54c 0000 6300 0100 e4e4 e4e4 .+.<.L..c....... 0x0020: e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 e4e4 ................ 0x0030: e4e4 e4e4 e4e4 ...... 14:46:44.711325 IP 10.4.72.41.3578 > 208.43.224.60.1999: S 2703371490:2703371490(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]> 0x0000: 4500 0040 e5cf 4000 2f06 6353 0a04 4829 E..@..@./.cS..H) 0x0010: d02b e03c 0dfa 07cf a122 2ce2 0000 0000 .+.<.....",..... 0x0020: b002 ffff 4f9b 0000 0204 05b4 0103 0303 ....O........... 0x0030: 0101 080a 0000 ...... 14:46:44.711333 IP 10.4.72.41 > 208.43.224.60: ICMP type-#24, length 1032 0x0000: 4500 041c e5ce 0000 7f01 4f7d 0a04 4829 E.........O}..H) 0x0010: d02b e03c 1848 0000 e400 0100 a9a9 a9a9 .+.<.H.......... 0x0020: a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 a9a9 ................ 0x0030: a9a9 a9a9 a9a9 ...... 14:46:44.711418 IP 10.4.72.41 > 208.43.224.60: ICMP type-#212, length 1032 0x0000: 4500 041c e5d0 0000 7f01 4f7b 0a04 4829 E.........O{..H) 0x0010: d02b e03c d44c 0000 6d00 0100 6a6a 6a6a .+.<.L..m...jjjj 0x0020: 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a 6a6a jjjjjjjjjjjjjjjj 0x0030: 6a6a 6a6a 6a6a jjjjjj 14:46:44.711507 IP 10.4.72.41.3579 > 208.43.224.60.1999: S 1615964905:1615964905(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp[|tcp]> 0x0000: 4500 0040 e5d2 4000 2f06 6350 0a04 4829 E..@..@./.cP..H) 0x0010: d02b e03c 0dfb 07cf 6051 aae9 0000 0000 .+.<....`Q...... 0x0020: b002 ffff 1264 0000 0204 05b4 0103 0303 .....d.......... 0x0030: 0101 080a 0000 ...... 14:46:44.711508 IP 10.4.72.41 > 208.43.224.60: ICMP type-#218, length 1032 0x0000: 4500 041c e5d1 0000 7f01 4f7a 0a04 4829 E.........Oz..H) 0x0010: d02b e03c da48 0000 8f00 0100 ecec ecec .+.<.H.......... 0x0020: ecec ecec ecec ecec ecec ecec ecec ecec ................ 0x0030: ecec ecec ecec ......
  3. как бороться меняет постоянно адрес для атаки, есть ли предложения ? 19:54:03.353357 IP 10.2.53.127 > 196.40.71.81: ICMP type-#111, length 1032 0x0000: 4500 041c 83a9 0000 7f01 693d 0a02 357f E.........i=..5. 0x0010: c428 4751 6fdc 0000 7900 0100 4343 4343 .(GQo...y...CCCC 0x0020: 4343 4343 4343 4343 4343 4343 4343 4343 CCCCCCCCCCCCCCCC 0x0030: 4343 4343 4343 CCCCCC 19:54:03.353397 IP 10.3.16.86 > 196.40.71.81: ICMP type-#215, length 1032 0x0000: 4500 041c 84ef 0000 7f01 8d1f 0a03 1056 E..............V 0x0010: c428 4751 d7e2 0000 3c00 0100 e6e6 e6e6 .(GQ....<....... 0x0020: e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 e6e6 ................ 0x0030: e6e6 e6e6 e6e6 ...... 19:54:03.353431 IP 10.3.16.86 > 196.40.71.81: ICMP type-#190, length 1032 0x0000: 4500 041c 84f0 0000 7f01 8d1e 0a03 1056 E..............V 0x0010: c428 4751 beb8 0000 d700 0100 cdcd cdcd .(GQ............ 0x0020: cdcd cdcd cdcd cdcd cdcd cdcd cdcd cdcd ................ 0x0030: cdcd cdcd cdcd ...... 19:54:03.353452 IP 10.1.48.95 > 196.40.71.81: ICMP type-#111, length 1032 0x0000: 4500 041c 0100 0000 7e01 f207 0a01 305f E.......~.....0_ 0x0010: c428 4751 6ff5 0000 2100 0100 d8d8 d8d8 .(GQo...!....... 0x0020: d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 d8d8 ................ 0x0030: d8d8 d8d8 d8d8 ...... 19:54:03.353460 IP 10.2.57.125 > 196.40.71.81: ICMP type-#199, length 1032 0x0000: 4500 041c 0100 0000 7f01 e7e8 0a02 397d E.............9} 0x0010: c428 4751 c7d9 0000 6e00 0100 7777 7777 .(GQ....n...wwww 0x0020: 7777 7777 7777 7777 7777 7777 7777 7777 wwwwwwwwwwwwwwww 0x0030: 7777 7777 7777 wwwwww 19:54:03.353521 IP 10.3.16.86 > 196.40.71.81: ICMP type-#115, length 1032 0x0000: 4500 041c 84f1 0000 7f01 8d1d 0a03 1056 E..............V 0x0010: c428 4751 73d7 0000 0500 0100 1a1a 1a1a .(GQs........... 0x0020: 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a 1a1a ................ 0x0030: 1a1a 1a1a 1a1a ...... 19:54:03.353541 IP 10.2.53.127 > 196.40.71.81: ICMP type-#73, length 1032 0x0000: 4500 041c 83aa 0000 7f01 693c 0a02 357f E.........i<..5. 0x0010: c428 4751 49f7 0000 3d00 0100 ebeb ebeb .(GQI...=....... 0x0020: ebeb ebeb ebeb ebeb ebeb ebeb ebeb ebeb ................ 0x0030: ebeb ebeb ebeb ...... 19:54:03.353611 IP 10.3.16.86 > 196.40.71.81: ICMP type-#127, length 1032 0x0000: 4500 041c 84f2 0000 7f01 8d1c 0a03 1056 E..............V 0x0010: c428 4751 7ff1 0000 ed00 0100 4040 4040 .(GQ........@@@@ 0x0020: 4040 4040 4040 4040 4040 4040 4040 4040 @@@@@@@@@@@@@@@@ 0x0030: 4040 4040 4040 @@@@@@
  4. XGS-4728F

    Полностью сменили 4728F на Длинк 3610-26G, вывод один 4728 использовать можно только как Л2+, он в качестве Л3 коммутатора не годится... Производительность сети улучшилось в разы, не ожидал что 3610 сможет нормально работать, хоть и в нем глюков хватает, но хоть Л3 функционал справляется с задачами роутинга нормально.. Вскрытие показало что в он построен на тех же чипах что Сиська 2851.
  5. XGS-4728F

    Думаем в сторону 3610 так как с 4728 очень устали бадаться с глюками.... 4728 только как Л2 функционал и не более....
  6. Linux softrouter

    Столкнулся с аналогичной проблемой, причем на двух одинаковых серверах, с ядром 2.6.30-gentoo-r5 #1 SMP Wed Nov 25 01:33:55 EET 2009 x86_64 Intel® Xeon® CPU E5520 @ 2.27GHz GenuineIntel ethtool -i eth0 driver: igb version: 1.3.16-k2 firmware-version: 1.2-1 bus-info: 0000:03:00.0 тоже все варианты перебрал, уже грешил на железо, но оказалось дело было в ядре (+драйвер igb + поддержка MSI-X в ядре?) У меня slackware 13.0 32-битная, проблемы были на ядре 2.6.29.6, перепробовал много версий igb и настроек, где-то скачка становилась лучше, серфинг никакой, в других случаях было наоборот. На тестовом стенде с ядром 2.6.29.6 была такая же проблема. Собрал ядро 2.6.30.9 и обновил драйвер igb до версии 2.0.6, проблемы пропали, сейчас уже стоит в продакшене и работает без нареканий обновился до 2.6.31-gentoo-r6 #1 SMP Wed Dec 9 02:36:00 EET 2009 x86_64 Intel® Xeon® CPU E5520 @ 2.27GHz GenuineIntel проблема пропала. все отлично.
  7. Linux softrouter

    Столкнулся с аналогичной проблемой, причем на двух одинаковых серверах, с ядром 2.6.30-gentoo-r5 #1 SMP Wed Nov 25 01:33:55 EET 2009 x86_64 Intel® Xeon® CPU E5520 @ 2.27GHz GenuineIntel ethtool -i eth0 driver: igb version: 1.3.16-k2 firmware-version: 1.2-1 bus-info: 0000:03:00.0 Менял порты на свиче, менял свич, убирал вланы, перепробывал почти все. Поставил сетевые на чипе 82574, и чудо проблемы нет. Грешу теперь на драйвера под 82576 чип. Причем эта же сетевая на 3м сервере работает отлично без каких либо глюков 2.6.27-gentoo-r8 #11 SMP Thu Apr 16 23:52:40 EEST 2009 i686 Intel® Core i7 CPU 920 @ 2.67GHz GenuineIntel ethtool -i eth0 driver: igb version: 1.2.45-k2 firmware-version: 1.2-1 bus-info: 0000:03:00.1 Кто то уже лечил даную ситуацию? Смущает только одно, что может дрова на 64 битной системе работают с глюками. Так как на 3 сервере где все отлично, 32битная версия линуха стоит. Забудь за эти сетевые они не поддерживают несколько прерываний. Можешь попробывать на 82574 чипе, у меня там получалось 2 прерывания на одну сетевую, одно на rx, одно на tx.
  8. Linux softrouter

    все же получилось ли поднять INTEL 1000 РТ (82571EB) с мульти MSI-X векторами? В дадащите написано что по две очереди поддерживает RX/TX.... Ктото пробывал на серверном бродкоме Nc7781 (bcm5703) тоже в дадащите указано что несколько очередей есть, но где :) Под FreeBSD есть ли что то похожее как там обстоят дела с мультивекторами?
  9. завернуть ingress внутреннего интерфейса в ifb, не? filter add dev eth0 parent ffff: protocol ip pref 3 u32 match u32 0 0 action mirred egress redirect dev ifb0 Насколько стабильно работает ifb ? После запуска ifb появилась проблема с кернел паник... ядро 2.6.18
  10. в том и дело что нужно нат оставить на этой машине...
  11. Нагрузка снизилась после введения хеширования, но если раньше были нагружены одинаково оба процессора, на которых висят оба интерфейса, то сейчас же ситуация перешла в то что загружен лишь один процессор, а второй на 50% от первого top - 18:55:21 up 8 days, 15:04, 4 users, load average: 0.63, 0.61, 0.57 Tasks: 162 total, 1 running, 160 sleeping, 0 stopped, 1 zombie Cpu0 : 6.1%us, 0.7%sy, 0.0%ni, 93.3%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Cpu1 : 3.0%us, 0.3%sy, 0.0%ni, 22.2%id, 0.0%wa, 0.3%hi, 74.1%si, 0.0%st Cpu2 : 1.4%us, 0.3%sy, 0.0%ni, 68.4%id, 0.0%wa, 1.4%hi, 28.5%si, 0.0%st Cpu3 : 16.3%us, 1.7%sy, 0.0%ni, 81.9%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 2066676k total, 1814284k used, 252392k free, 344644k buffers Swap: 1951888k total, 0k used, 1951888k free, 945596k cached Пологаю это ingress шейпер продолжает напрягать систему... как можно хешировать ингресс фильтры?
  12. Появисаль новая проблема: После добавления фильтра не могу его удалить, только убивать корневой класс и заново восстанавливать весь шейпер.. /sbin/tc filter del dev eth0 protocol ip parent 1: prio 23565 /sbin/tc filter del dev eth0 protocol ip parent ffff: prio 23564 удаляю фильтры, удаляется только : filter parent 1: protocol ip pref 23565 u32 filter parent 1: protocol ip pref 23565 u32 fh 801: ht divisor 1 но в таблице остается фильтр, который потом плодится, при создани фильтра заново: filter parent 1: protocol ip pref 5 u32 fh 2:15:803 order 2051 key ht 2 bkt 15 flowid 1:5c0d match 00000000/00000000 at 12 match 0a010015/ffffffff at 16 ------------------------------------------------------------------------------------------------------------- tc filter show dev eth0 filter parent 1: protocol ip pref 5 u32 filter parent 1: protocol ip pref 5 u32 fh 2: ht divisor 256 filter parent 1: protocol ip pref 5 u32 fh 2:15:800 order 2048 key ht 2 bkt 15 flowid 1:65ed match 00000000/00000000 at 12 match 0a000015/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 2:15:801 order 2049 key ht 2 bkt 15 flowid 1:5c0d match 00000000/00000000 at 12 match 0a010015/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 2:15:802 order 2050 key ht 2 bkt 15 flowid 1:5c0d match 00000000/00000000 at 12 match 0a010015/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 2:15:803 order 2051 key ht 2 bkt 15 flowid 1:5c0d match 00000000/00000000 at 12 match 0a010015/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 2:15:804 order 2052 key ht 2 bkt 15 flowid 1:5c0d match 00000000/00000000 at 12 match 0a010015/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 2:16:800 order 2048 key ht 2 bkt 16 flowid 1:5c0d match 00000000/00000000 at 12 match 0a000016/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 2:2d:800 order 2048 key ht 2 bkt 2d flowid 1:6791 match 00000000/00000000 at 12 match 0a02062d/ffffffff at 16 filter parent 1: protocol ip pref 5 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 5 u32 fh 800::800 order 2048 key ht 800 bkt 0 link 2: match 00000000/00000000 at 16 hash mask 000000ff at 16 filter parent 1: protocol ip pref 26093 u32 filter parent 1: protocol ip pref 26093 u32 fh 801: ht divisor 1 filter parent 1: protocol ip pref 26513 u32 filter parent 1: protocol ip pref 26513 u32 fh 807: ht divisor 1 -------------------------------------------------------------------------------------------------------- Повторное удаление фильтра выдает ошибку вида /sbin/tc filter del dev eth0 protocol ip parent 1: prio 23565 RTNETLINK answers: Invalid argument We have an error talking to the kernel Вот так создаю фильтры: /sbin/tc filter del dev eth0 protocol ip parent 1: prio 23565 /sbin/tc filter del dev eth0 protocol ip parent ffff: prio 23564 /sbin/tc class del dev eth0 parent 1: classid 1:5c0d /sbin/tc qdisc del dev eth0 parent 1:5c0d handle 5c0d sfq perturb 10 /sbin/tc class add dev eth0 parent 1: classid 1:5c0d htb rate 4096Kibit /sbin/tc qdisc add dev eth0 parent 1:5c0d handle 5c0d sfq perturb 10 /sbin/tc filter add dev eth0 protocol ip parent 1: prio 23565 u32 ht 2:15 match ip src 0.0.0.0/0 match ip dst 10.1.0.21 flowid 1:5c0d /sbin/tc filter add dev eth0 protocol ip parent ffff: prio 23564 u32 match ip src 10.1.0.21 match ip dst 0.0.0.0/0 police rate 4096Kibit burst 12k drop flowid 1: Так поднимаю корневой класс INTERFACE='eth0'; TC="/sbin/tc" TCQA="${TC} qdisc add dev ${INTERFACE}" TCQD="${TC} qdisc del dev ${INTERFACE}" $TCQD root &>/dev/null $TCQD ingress &>/dev/null $TCQA root handle 1: htb $TCQA handle ffff: ingress $TC filter add dev ${INTERFACE} parent 1:0 prio 5 protocol ip u32 $TC filter add dev ${INTERFACE} parent 1:0 prio 5 handle 2: protocol ip u32 divisor 256 $TC filter add dev ${INTERFACE} protocol ip parent 1:0 prio 5 u32 ht 800:: match ip dst 0/0 hashkey mask 0x000000ff at 16 link 2:
  13. Спасибо за помощь, стал понимать хоть как это работает!!! 2MEX2 Спасибо за конфиг, думаю теперь разберусь!
  14. Тоесть нужно каждому процессу указывать где работать, а нет ли возможности просто запрет ввести всему, как наподобии обработчики прерываний... Я так понимаю поле LOC из /ПРОЦ/ИНТЕРАПС что и есть локальные задачи? или я ошибаюсь?
  15. Возможно кто то сталкивался из Вас с проблемой на многоядерных Linux системах - задачи которые поступают на выполнение процессорам. выполняются хаотически, тоесть выбираются процессоры по какой то формуле... Но необходимо заставить одно ядро заниматься только конкретной сетевой картой, и что бы левые задачи дополнительно не подгружались на данный процессор, есть ли такая возможность? Так как не очень приятно наблюдать как одновременной на одном процессоре где сидит сетевая, еще появляются какие то другие процессы, и убивают ядро в 100% загрузку, когда другие ядра нагружены на 20-30% и они не занимаются сетевыми...