Аномалия

All Activity

Аномалия CentOS+iptables

Reply to this topic

entwine

Posted June 19, 2015 (edited) · Report post

Доброе время суток

Есть проблема. Возможно кто-то уже сталкивался с чем-то подобным или знает как продиагностировать.

Сервер, работает под CentOS 6, NAT - iptables.

Обслуживает 1-1.5к клиентов,

максимальная загрузка процессора была (до недавнего времени) - 18%,

количество сессий - до 92к.

И вот, в один момент, сессий становится 524к, процессор пригружается до 31% (но, вскоре, возвращается в норму),

Трафик на интерфейсах до 700M-rx/100M-tx почти не изменился.

а количество сессий остается на уровне 524к

Что это может быть и как найти причину аномалии?

Edited June 20, 2015 by entwine

Share this post

Link to post

Share on other sites

DVM-Avgoor

Posted June 19, 2015 · Report post

Ставьте Mandrake Linux 7, современное ядро 2.2.17 идеально подходит под Вашу задачу.

Share this post

Link to post

Share on other sites

DVM-Avgoor

Posted June 19, 2015 · Report post

А если серьезно - вас не удивляет кол-во сессий? Не наводит на мысли о флуде из сети?

Share this post

Link to post

Share on other sites

entwine

Posted June 20, 2015 (edited) · Report post

При появлении флуда возрос бы трафик на интерфейсе.

И Flow-control настроен на порту каждого клиент, так-что маловероятно.

Понятно, что какой-то хост мог создать такое количество малоактивных сессий,

но инструмента, который мог бы его выявить, я пока не нашел.

Edited June 20, 2015 by entwine

Share this post

Link to post

Share on other sites

Wheely

Posted June 20, 2015 · Report post

При появлении флуда возрос бы трафик на интерфейсе.

И Flow-control настроен на порту каждого клиент, так-что маловероятно.

Понятно, что какой-то хост мог создать такое количество малоактивных сессий,

но инструмента, который мог бы его выявить, я пока не нашел.

egrep -i established /proc/net/ip_conntrack

Share this post

Link to post

Share on other sites

alex_001

Posted June 20, 2015 · Report post

egrep -i established /proc/net/ip_conntrack

conntrack -L лучше. Еще можно netflow глянуть в момент когда нагрузка возрастает (если есть).

Share this post

Link to post

Share on other sites

pavel.odintsov

Posted June 21, 2015 · Report post

В коде драйвера тоже немногословное описание:

IXGBE_EICR_ECC		0x10000000 /* ECC Error */

Полистайте дата щит: http://www.intel.com/content/dam/www/public/us/en/documents/datasheets/82598-10-gbe-controller-datasheet.pdf

Share this post

Link to post

Share on other sites

entwine

Posted June 22, 2015 · Report post

Спасибо за подсказки, буду копать.

В ipnat была полезная команда:

ipnat -l | awk '{print $2}' | sort | uniq -c | sort -r | grep "10.0." | less

которая показывала топ клиентов, у который максимальное колличество активных сессий.

Возможно в iptabes есть чтото подобное?

Тогда можно было бы найти IP, который создал "лишние" 500к сессий.

Share this post

Link to post

Share on other sites

pppoetest

Posted June 22, 2015 · Report post

Вам уже подсказали "conntrack -L", а дальше грепайте.

Share this post

Link to post

Share on other sites

DVM-Avgoor

Posted June 22, 2015 · Report post

При появлении флуда возрос бы трафик на интерфейсе.

Не верно, наоборот бы упал. Выросло бы PPS.

И Flow-control настроен на порту каждого клиент, так-что маловероятно.

От unicast dos оно никак не спасет, не тешьте себя мнимой надеждой.

Понятно, что какой-то хост мог создать такое количество малоактивных сессий,

Мог, вполне мог. Вы статистику не ведете? netflow не собираете?

Share this post

Link to post

Share on other sites

entwine

Posted June 22, 2015 · Report post

Всем спасибо, помогло:

conntrack -L |awk '{if ($5 ~ /src/) print $5; else if ($4 ~ /src/) print $4}' | sed "s/src=/ /g" | sort | uniq -c | sort -n | tail -n15

Вопрос закрыт.

Share this post

Link to post

Share on other sites

pavel.odintsov

Posted June 22, 2015 (edited) · Report post

Так что было, ддос?

Edited June 22, 2015 by pavel.odintsov

Share this post

Link to post

Share on other sites

entwine

Posted June 23, 2015 (edited) · Report post

К сожалению активные сессии уже вернулись к норме (30-80к).

Загадка))

Edited June 23, 2015 by entwine

Share this post

Link to post

Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

Followers 0

Go to topic listing Программное обеспечение, биллинг и *unix системы

Sign In

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Join the conversation