Jump to content
Калькуляторы

Большие потери пакетов в час пик полечите по фотографии.

Ситуация странная. Приблизительно с 8 до 9 вечера, последнюю неделю в самый ЧНН, резко выростает загрузка процессора на серваке. От едениц процентов на ядро, до ста.

выростает пинг до сотни туда, где раньше был 2-3, трафик к абоненту падает в десятки раз.

Канал занят менше чем на половину и во время этой проблемы трафик еще падает.

Косвенным путем вычислили что к нам снаружи валится чудовищное количесто мелких пакетов, и сервер захлебыается их отбрасывать.

Сначала думали нас ддосят, но нет.

Такое ощущение, что или у кого-то в нашей сети заелся бот и хренаит в кого-то спамом или ддосом. ибо исходящих пакетов тоже вырастает немеряно.

Произвели веерное отключение по всей сети, чтобы вычислить, где этот бот сидит. Не помогло.

 

Куда еще копать.

Сервак на линуксе, ПППОЕ, УТМ, НАТ, внутренние серые айпишники, бех ДХЦП.

 

вполне озможно это и не внешняя проблема, а внутренняя, типа кто-то приходит с работы, включает комп, и закольцовывает нас с кем-то, но тоже не находится такого...

 

Пните в какую сторону копать, хотя бы мысль подкиньте :)

Чего-то у нас все мысли кончились...

Share this post


Link to post
Share on other sites

Такое ощущение, что или у кого-то в нашей сети заелся бот и хренаит в кого-то спамом или ддосом. ибо исходящих пакетов тоже вырастает немеряно.

Завести пппое туннели в мониторинг (заббикс с дискавери ифейсов по имени), и мониторить ппс.

Share this post


Link to post
Share on other sites

didandr предложу проанализировать трафик по портам, возможно опять торрент сюрпризом озадачил.

чудовищное количесто мелких пакетов

О каких именно цифрах идет речь ?

Share this post


Link to post
Share on other sites

до 80 тысяч пакетов размером 65-127 байт.

при том, что всех остальных меньше тысячи.

пакетов длительностью 1024-1512 несколько тысяч.

 

Не в ЧНН количество мелких пакетов 10-20 тыщ.

Share this post


Link to post
Share on other sites

Могу поделиться парой pattern, для полной блокировки utp - в том числе и dht по udp. У нас все только по tcp качают. Колиство udp в общем трафике абонентов менее 10%

Share this post


Link to post
Share on other sites

По utp всё уже было:

http://forum.nag.ru/forum/index.php?showtopic=94045

http://forum.nag.ru/forum/index.php?showtopic=97556

 

Кто то даже написал под линух модуль аналогичный, только к иптаблес, как я понял, и взаимодействующий с контраком.

По сигнатурам дропать конечно можно, но это не очень красиво, и с некоторой вероятностью может зацепить что то ещё.

Так было с этой штукой: http://www.netlab.linkpc.net/forum/index.php?topic=175.0

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.