Suricata: retransmission packet before last ack

0

1

Доброго времени суток, aLL

Имеется IDS/IPS suricata. Использует правила ETOpen и Snort VRT (свободно-распространяемые). PfSense-2.2 и Xeon(R) CPU E5-2609х8Gb памяти. Канал 100Мбит, белый IP.

Оный сурикат работает вполне замечательно. Под постоянной ДДос работаем, не падает ничего и не подламывают. Одно «но»: постоянно и хаотично блочит сайты (вполне нормальные) и различные хосты с ошибкой:

SURICATA STREAM ESTABLISHED retransmission packet before last ack

Сие означает проблемы с железом у провайдера, проблемы с железом у меня или еще что?

Ссылка

←	Посоветуйте тулзу для бекапа сайтов

Что с разделами такое?

→

я бы забил на это сообщение или отключил это правило.

Пакеты могут ходить разными путями с разными задержками.

От версии SURICATA оно не зависит?

vel ★★★★★
(10.02.15 17:25:06 MSK)

Ответ на: комментарий от vel 10.02.15 17:25:06 MSK

Забить не получается, так как оно блокирует нормальные сайты и юзеры жалуются. Причем, ладно бы два-три - десятка 2 нормальных сайтов за день - как с куста... Пока отключил, но надо разобраться...

Насчет версий суриката и поведения оных - не скажу, ранее не работал с ней, поставил то, что в репозитариях pfsense было.

Пакеты по-разному ходют, это да, но что-то это массово в моем случае и хочется понять - только ли в этом дело, или же таки «железные» заморочки...

D_Ima
(10.02.15 17:52:33 MSK) автор топика

Ответ на: комментарий от D_Ima 10.02.15 17:52:33 MSK

Проблема с last ack может создаваться где угодно по пути следования пакетов. Эта проблема обычно отсутствует в локальных сетях, а в глобальной сети это следствие multipath-routing и всяких трафик-шейперов (с дропами и перестановкой пакетов).

Собери статистику - может оказаться, что проблема связана с хождением трафика в некоторые AS.

vel ★★★★★
(10.02.15 19:19:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Посоветуйте тулзу для бекапа сайтов

Admin

Что с разделами такое?

→

Похожие темы