20512 Опубликовано 7 ноября, 2014 · Жалоба Ситуация странная. Приблизительно с 8 до 9 вечера, последнюю неделю в самый ЧНН, резко выростает загрузка процессора на серваке. От едениц процентов на ядро, до ста. выростает пинг до сотни туда, где раньше был 2-3, трафик к абоненту падает в десятки раз. Канал занят менше чем на половину и во время этой проблемы трафик еще падает. Косвенным путем вычислили что к нам снаружи валится чудовищное количесто мелких пакетов, и сервер захлебыается их отбрасывать. Сначала думали нас ддосят, но нет. Такое ощущение, что или у кого-то в нашей сети заелся бот и хренаит в кого-то спамом или ддосом. ибо исходящих пакетов тоже вырастает немеряно. Произвели веерное отключение по всей сети, чтобы вычислить, где этот бот сидит. Не помогло. Куда еще копать. Сервак на линуксе, ПППОЕ, УТМ, НАТ, внутренние серые айпишники, бех ДХЦП. вполне озможно это и не внешняя проблема, а внутренняя, типа кто-то приходит с работы, включает комп, и закольцовывает нас с кем-то, но тоже не находится такого... Пните в какую сторону копать, хотя бы мысль подкиньте :) Чего-то у нас все мысли кончились... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 7 ноября, 2014 · Жалоба попробуй поглядеть ппс в этот момент, ну и вайршаркой поглядеть чепочем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 7 ноября, 2014 · Жалоба Такое ощущение, что или у кого-то в нашей сети заелся бот и хренаит в кого-то спамом или ддосом. ибо исходящих пакетов тоже вырастает немеряно. Завести пппое туннели в мониторинг (заббикс с дискавери ифейсов по имени), и мониторить ппс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 8 ноября, 2014 · Жалоба щас попробуем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 8 ноября, 2014 · Жалоба didandr предложу проанализировать трафик по портам, возможно опять торрент сюрпризом озадачил. чудовищное количесто мелких пакетов О каких именно цифрах идет речь ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 8 ноября, 2014 · Жалоба до 80 тысяч пакетов размером 65-127 байт. при том, что всех остальных меньше тысячи. пакетов длительностью 1024-1512 несколько тысяч. Не в ЧНН количество мелких пакетов 10-20 тыщ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 8 ноября, 2014 · Жалоба поди на порт удп 6689. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 8 ноября, 2014 · Жалоба didandr случайно не ваш случай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 8 ноября, 2014 · Жалоба Это ты торенты имеешь ввиду? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 8 ноября, 2014 · Жалоба didandr случайно не ваш случай. Интересная мысль Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 8 ноября, 2014 · Жалоба Да. И в теме все предельно ясно расписано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 8 ноября, 2014 · Жалоба пока вырубили шейпер наружу. Загрузка процессора упала в несколько раз, трфик почти не изменился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 ноября, 2014 · Жалоба Могу поделиться парой pattern, для полной блокировки utp - в том числе и dht по udp. У нас все только по tcp качают. Колиство udp в общем трафике абонентов менее 10% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 ноября, 2014 · Жалоба По utp всё уже было: http://forum.nag.ru/forum/index.php?showtopic=94045 http://forum.nag.ru/forum/index.php?showtopic=97556 Кто то даже написал под линух модуль аналогичный, только к иптаблес, как я понял, и взаимодействующий с контраком. По сигнатурам дропать конечно можно, но это не очень красиво, и с некоторой вероятностью может зацепить что то ещё. Так было с этой штукой: http://www.netlab.linkpc.net/forum/index.php?topic=175.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 9 ноября, 2014 · Жалоба Походу тупо несправляется шейпер. Копаем дальше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...