Evolution23

Пока аномальных скоростей у пользователей больше не было замечено. Буду мониторить дальше. Вопрос по redis. fastnetmon в нем хранит информацию о переданных байтах, а возможно ли туда складировать больше информации? кто, куда и в какое время обратился? Или такой функционал не имеется в to-do? Грубо говоря IPCAD сейчас мной используется для этого, но разумеется лучше было бы использовать одну программу-анализатор трафика, чем две (одну для мониторинга нагрузки, а другую для мониторинга кто и куда обратился)

Если не изменяет память, то было incoming. Но суть не в этом. Не важно в какую сторону, у него ж порт 100мбитный, он за пределы ста мегабит вообще по идее ни на upload, ни на download не может выйти.

и еще, если верить тому что выдает fastnetmon, то один из айпишников жрет канал со скоростью 170 mbps. это при том, что у него порт по идее 100 мбитный :D

Запустил на одной из машин, посмотрим как будет работать) Уже увидел наглядно самых активных пользователей) Вопрос немного не по теме, ipcad можно подружить с pf_ring? а то сейчас он по ULOG работает у нас. Нагрузка терпимая, но если бы прикрутить pf_ring получилось, то было бы совсем здорово.

СУПЕР!) Работает!) Буду тестировать! Спасибо!

Обычный поиск петель. Это нормально Дык да, даже если бы это было что-то не нормальное, то таких пакетов ничтожно мало, в сравнении с другими данными. Так что меня смущает совсем другое. 8.0.69.0:58813 > 5.134.4.85:33989 protocol: unknown size: 26335 bytes - вот это не нормальные данные. И на каком основании скрипт их генерит не совсем понятно.

Ну это не весь трафик, я ж просто grep ethertype сделал) Там было слишком много всего и я отсеял все кроме строк с "Packet with non standard ethertype found:" Если не использовать grep [и в этой куче пакетов раз в 2-3 секунды проскакивает "Packet with non standard ethertype found: 0x9000" и еще реже "Packet with non standard ethertype found: 0x8809"] Dump: 8.0.69.0:52094 > 5.220.141.73:51413 protocol: unknown size: 12726 bytes Dump: 8.0.69.0:52094 > 5.220.141.75:51413 protocol: unknown size: 12726 bytes Dump: 10.198.50.41:13512 > 95.27.88.114:60294 protocol: udp size: 48 bytes Dump: 8.0.69.0:44488 > 5.220.141.69:80 protocol: unknown size: 12726 bytes Dump: 8.0.69.0:44488 > 5.220.141.70:80 protocol: unknown size: 12726 bytes Dump: 8.0.69.0:44488 > 5.220.141.72:80 protocol: unknown size: 12726 bytes Dump: 8.0.69.0:44488 > 5.220.141.74:80 protocol: unknown size: 12726 bytes Dump: 8.0.69.0:44488 > 5.220.141.76:80 protocol: unknown size: 12726 bytes Dump: 10.198.42.117:29870 > 188.235.75.34:61765 protocol: udp size: 48 bytes Dump: 8.0.69.0:29870 > 5.134.4.83:61765 protocol: unknown size: 26335 bytes Dump: 8.0.69.0:29870 > 5.220.226.230:61765 protocol: unknown size: 12035 bytes Dump: 8.0.69.0:29870 > 5.220.226.231:61765 protocol: unknown size: 12035 bytes Dump: 8.0.69.0:29870 > 5.134.4.84:61765 protocol: unknown size: 26335 bytes Dump: 8.0.69.0:29870 > 5.186.39.55:61765 protocol: unknown size: 35988 bytes Dump: 8.0.69.0:44488 > 0.40.160.152:80 protocol: unknown size: 58976 bytes Dump: 10.198.42.29:52094 > 109.248.70.254:51413 protocol: tcp size: 1492 bytes Dump: 10.198.42.117:29870 > 188.235.75.34:61765 protocol: udp size: 48 bytes Dump: 8.0.69.0:29870 > 5.220.85.1:61765 protocol: unknown size: 45699 bytes Dump: 8.0.69.0:44488 > 5.220.226.232:80 protocol: unknown size: 12035 bytes Dump: 10.198.44.92:58813 > 37.110.40.246:33989 protocol: tcp size: 552 bytes Dump: 8.0.69.0:58813 > 5.134.4.85:33989 protocol: unknown size: 26335 bytes Dump: 10.198.42.29:52094 > 109.248.70.254:51413 protocol: tcp size: 1492 bytes Dump: 8.0.69.0:52094 > 5.134.4.86:51413 protocol: unknown size: 26335 bytes Dump: 10.198.42.29:52094 > 109.248.70.254:51413 protocol: tcp size: 1492 bytes Dump: 8.0.69.0:52094 > 5.220.85.2:51413 protocol: unknown size: 45699 bytes Dump: 8.0.69.0:52094 > 0.52.80.178:51413 protocol: unknown size: 311 bytes

/usr/src/fastnetmon# DUMP_ALL_PACKETS=1 ./fastnetmon eth2,eth3|grep ethertype Dumping statistics on /proc/net/pf_ring/stats/ Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Packet with non standard ethertype found: 0x9000 Как-то так. Иногда еще проскакивает не 0x9000, а 0x8809

Спасибо большое, если будет нужна дополнительная диагностика - пишите.

Сделал из собранного на тестовой машине pf_ring deb пакет и поставил-таки на машине из-под которой сам сижу в интернете. После чего закинул туда же уже скомпиллированный fastnetmon и запустил. Показывало размер пакета 40, но wireshark на моем ПК при этом показывал размер пакета - 54 (на отдачу) и 1464 (на прием). Так что в любом случае считается как-то странно. Еще заметил следующую картину, когда убрал grep с того, что выводит скрипт. Dump: 8.0.69.0:46292 > 5.220.118.202:56567 protocol: unknown size: 10536 bytes Dump: 10.198.115.63:2052 > 95.142.205.58:80 protocol: tcp size: 40 bytes Dump: 8.0.69.0:2052 > 5.200.55.220:80 protocol: unknown size: 2890 bytes Dump: 8.0.69.0:2052 > 5.220.156.39:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:2052 > 5.220.160.16:80 protocol: unknown size: 11996 bytes Dump: 8.0.69.0:2052 > 5.220.156.40:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:2052 > 5.220.156.41:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:2052 > 5.220.156.45:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:49754 > 5.220.156.46:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:49754 > 5.220.156.47:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:49754 > 5.220.156.48:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:49754 > 5.220.156.49:80 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:49754 > 5.220.156.50:80 protocol: unknown size: 15078 bytes Dump: 10.198.113.22:52267 > 92.50.241.14:1940 protocol: tcp size: 40 bytes Dump: 8.0.69.0:52267 > 5.220.156.55:1940 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:52267 > 5.220.156.56:1940 protocol: unknown size: 15078 bytes Dump: 8.0.69.0:52267 > 5.200.55.221:1940 protocol: unknown size: 2890 bytes Dump: 8.0.69.0:52267 > 5.220.35.46:1940 protocol: unknown size: 60727 bytes Dump: 10.198.115.62:6143 > 109.163.245.225:26248 protocol: udp size: 76 bytes Dump: 10.198.116.147:53607 > 88.212.196.122:80 protocol: tcp size: 498 bytes Dump: 8.0.69.0:53607 > 5.220.14.88:80 protocol: unknown size: 19795 bytes Dump: 8.0.69.0:53607 > 5.220.14.89:80 protocol: unknown size: 19795 bytes Dump: 8.0.69.0:53607 > 5.220.14.90:80 protocol: unknown size: 19795 bytes Dump: 8.0.69.0:53607 > 5.220.14.91:80 protocol: unknown size: 19795 bytes Dump: 10.198.142.17:1042 > 81.61.30.245:60397 protocol: udp size: 145 bytes Dump: 8.0.69.0:1042 > 5.200.55.223:60397 protocol: unknown size: 2890 bytes Dump: 8.0.69.0:1042 > 0.135.9.92:60397 protocol: unknown size: 34075 bytes Dump: 8.0.69.0:1042 > 5.173.119.107:60397 protocol: unknown size: 4179 bytes Dump: 8.0.69.0:1042 > 5.220.118.206:60397 protocol: unknown size: 10536 bytes Dump: 8.0.69.0:1042 > 5.220.118.207:60397 protocol: unknown size: 10536 bytes Dump: 10.198.143.14:30227 > 92.55.50.94:30056 protocol: udp size: 1450 bytes Dump: 8.0.69.0:58364 > 5.220.147.26:445 protocol: unknown size: 50599 bytes Dump: 10.198.142.17:1042 > 85.10.192.175:34122 protocol: udp size: 145 bytes Dump: 10.198.127.42:50352 > 95.142.205.53:80 protocol: tcp size: 64 bytes Dump: 10.198.127.42:50352 > 95.142.205.53:80 protocol: tcp size: 64 bytes То есть те записи, которые имеют protocol: unknown имеют вообще необъяснимые айпи и на вход, и на выход О_О

Есть подозрение что именно в этом дело, наверняка бонд для работы добавляет что-то в пакеты данных.

Могу, но, к сожалению уже только завтра. У меня нет из дома доступа к железке, которой бы нынешняя тестовая машина служила бы шлюзом.

Сделал. Запустил команду: ./fastnetmon eth2,eth3 | grep -v "unknown" | grep "> 10.х." чтобы выцепить нужные строки. И увидел странную фигню. Дело в том, что такие данные есть, но там в качестве source встречаются только мои же сетки. А данных о пакетах, приходящих извне - нет.

окей, как буду дома - проверю. Кстати, у нас в сети Download в разы больше Upload'а. ( скачивают много, а отдают мало) Так что может быть действительно Upload слишком мал.

Еще смущает то, что оно мне выдает-таки список айпи в разделе Incoming traffic. Но при этом строки pps и mbps по нулям. Не понятно, если оно не получает эти значения, то по какому принципу оно добавляет айпи в этот список и сортирует их. Incoming Traffic 0 pps 0 mbps 10.x.45.76 0 pps 0 mbps 10.x.43.81 0 pps 0 mbps 10.x.46.80 0 pps 0 mbps 10.x.42.80 0 pps 0 mbps 10.x.44.79 0 pps 0 mbps 10.x.43.78 0 pps 0 mbps 10.x.42.78 0 pps 0 mbps Outgoing traffic 63469 pps 288 mbps 10.x.49.49 11202 pps 103 mbps 10.x.42.29 6531 pps 5 mbps 10.x.43.32 5155 pps 61 mbps 10.x.43.129 3353 pps 8 mbps 10.x.44.55 2782 pps 1 mbps 10.x.46.75 2781 pps 3 mbps 10.x.42.46 2619 pps 20 mbps