entwine Posted June 19, 2015 (edited) · Report post Доброе время суток Есть проблема. Возможно кто-то уже сталкивался с чем-то подобным или знает как продиагностировать. Сервер, работает под CentOS 6, NAT - iptables. Обслуживает 1-1.5к клиентов, максимальная загрузка процессора была (до недавнего времени) - 18%, количество сессий - до 92к. И вот, в один момент, сессий становится 524к, процессор пригружается до 31% (но, вскоре, возвращается в норму), Трафик на интерфейсах до 700M-rx/100M-tx почти не изменился. а количество сессий остается на уровне 524к Что это может быть и как найти причину аномалии? Edited June 20, 2015 by entwine Share this post Link to post Share on other sites
DVM-Avgoor Posted June 19, 2015 · Report post Ставьте Mandrake Linux 7, современное ядро 2.2.17 идеально подходит под Вашу задачу. Share this post Link to post Share on other sites
DVM-Avgoor Posted June 19, 2015 · Report post А если серьезно - вас не удивляет кол-во сессий? Не наводит на мысли о флуде из сети? Share this post Link to post Share on other sites
entwine Posted June 20, 2015 (edited) · Report post При появлении флуда возрос бы трафик на интерфейсе. И Flow-control настроен на порту каждого клиент, так-что маловероятно. Понятно, что какой-то хост мог создать такое количество малоактивных сессий, но инструмента, который мог бы его выявить, я пока не нашел. Edited June 20, 2015 by entwine Share this post Link to post Share on other sites
Wheely Posted June 20, 2015 · Report post При появлении флуда возрос бы трафик на интерфейсе. И Flow-control настроен на порту каждого клиент, так-что маловероятно. Понятно, что какой-то хост мог создать такое количество малоактивных сессий, но инструмента, который мог бы его выявить, я пока не нашел. egrep -i established /proc/net/ip_conntrack Share this post Link to post Share on other sites
alex_001 Posted June 20, 2015 · Report post egrep -i established /proc/net/ip_conntrack conntrack -L лучше. Еще можно netflow глянуть в момент когда нагрузка возрастает (если есть). Share this post Link to post Share on other sites
pavel.odintsov Posted June 21, 2015 · Report post В коде драйвера тоже немногословное описание: IXGBE_EICR_ECC 0x10000000 /* ECC Error */ Полистайте дата щит: http://www.intel.com/content/dam/www/public/us/en/documents/datasheets/82598-10-gbe-controller-datasheet.pdf Share this post Link to post Share on other sites
entwine Posted June 22, 2015 · Report post Спасибо за подсказки, буду копать. В ipnat была полезная команда: ipnat -l | awk '{print $2}' | sort | uniq -c | sort -r | grep "10.0." | less которая показывала топ клиентов, у который максимальное колличество активных сессий. Возможно в iptabes есть чтото подобное? Тогда можно было бы найти IP, который создал "лишние" 500к сессий. Share this post Link to post Share on other sites
pppoetest Posted June 22, 2015 · Report post Вам уже подсказали "conntrack -L", а дальше грепайте. Share this post Link to post Share on other sites
DVM-Avgoor Posted June 22, 2015 · Report post При появлении флуда возрос бы трафик на интерфейсе. Не верно, наоборот бы упал. Выросло бы PPS. И Flow-control настроен на порту каждого клиент, так-что маловероятно. От unicast dos оно никак не спасет, не тешьте себя мнимой надеждой. Понятно, что какой-то хост мог создать такое количество малоактивных сессий, Мог, вполне мог. Вы статистику не ведете? netflow не собираете? Share this post Link to post Share on other sites
entwine Posted June 22, 2015 · Report post Всем спасибо, помогло: conntrack -L |awk '{if ($5 ~ /src/) print $5; else if ($4 ~ /src/) print $4}' | sed "s/src=/ /g" | sort | uniq -c | sort -n | tail -n15 Вопрос закрыт. Share this post Link to post Share on other sites
pavel.odintsov Posted June 22, 2015 (edited) · Report post Так что было, ддос? Edited June 22, 2015 by pavel.odintsov Share this post Link to post Share on other sites
entwine Posted June 23, 2015 (edited) · Report post К сожалению активные сессии уже вернулись к норме (30-80к). Загадка)) Edited June 23, 2015 by entwine Share this post Link to post Share on other sites
