LINUX.ORG.RU

Сообщения Crewger

 

DNS UDP Flood (помогите разобраться, вторую неделю мучаюсь)

Шлюз, он же DNS (bind9), на Дебиане. Сетка ~60 компов на виндах с корпоративным дохторвебом на борту. Инет течет по ADSL, внешний IP статический, юзерам приходит через squid.

Периодически отваливается коннект с внешним миром. Сначала грешил на провайдера, но когда мне сказали, что на модем идет очень большое количество соединений, призадумался.

iptraf на внешнем интерфейсе показывает большой UDP-трафик на 53-м порту с внешнего интерфейса и на него же на какие-то левые айпишники, которые по whois если и резолвятся, то принадлежат неизвестным мне DNS-серверам. На bind'e в форвардах выставлены только гугловский 8.8.8.8 и днс провайдера (212.44.130.6). Делаю tcpdump, исключая запросы на и с этих адресов, получаю примерно следующее: 

$my_external_ip.25935 > ns1.infobox.org.domain: [udp sum ok] 43664 A? webab01.autotracker.ru. (40)
15:06:23.165625 IP (tos 0x0, ttl 64, id 21711, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.20749 > ns1.infobox.org.domain: [udp sum ok] 59925 [1au] PTR? 250.140.221.77.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
15:06:27.354475 IP (tos 0x0, ttl 64, id 12369, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.41289 > 77.221.140.250.domain: [udp sum ok] 10648 [1au] PTR? 250.140.221.77.in-addr.arpa. ar: . OPT UDPsize=512 OK (56)
15:06:28.730306 IP (tos 0x0, ttl 64, id 12370, offset 0, flags [none], proto UDP (17), length 68)
    $my_external_ip.53239 > 77.221.140.250.domain: [udp sum ok] 61168 A? webab01.autotracker.ru. (40)
15:06:29.633437 IP (tos 0x0, ttl 64, id 21712, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.19273 > ns1.infobox.org.domain: [udp sum ok] 8253 [1au] PTR? 250.140.221.77.in-addr.arpa. ar: . OPT UDPsize=512 OK (56)
15:06:31.087711 IP (tos 0x0, ttl 64, id 21713, offset 0, flags [none], proto UDP (17), length 68)
    $my_external_ip.33129 > ns1.infobox.org.domain: [udp sum ok] 26991 A? webab01.autotracker.ru. (40)
15:06:31.904956 IP (tos 0x0, ttl 64, id 12371, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.61717 > 77.221.140.250.domain: [udp sum ok] 10103 [1au] PTR? 250.130.221.77.in-addr.arpa. ar: . OPT UDPsize=4096 OK (56)
15:06:34.160545 IP (tos 0x0, ttl 64, id 12372, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.14135 > 77.221.140.250.domain: [udp sum ok] 52805 PTR? 250.140.221.77.in-addr.arpa. (45)
15:06:34.184569 IP (tos 0x0, ttl 64, id 21714, offset 0, flags [none], proto UDP (17), length 84)
    $my_external_ip.64271 > ns1.infobox.org.domain: [udp sum ok] 30450 [1au] PTR? 250.130.221.77.in-addr.arpa. ar: . OPT UDPsize=512 OK (56)
15:06:34.203071 IP (tos 0x0, ttl 58, id 49815, offset 0, flags [none], proto UDP (17), length 113)
    ns1.infobox.org.domain > $my_external_ip.64271: [udp sum ok] 30450*- q: PTR? 250.130.221.77.in-addr.arpa. 1/0/1 250.130.221.77.in-addr.arpa. [10m] PTR ns1.infobox.org. ar: . OPT UDPsize=4096 OK (85)
15:06:36.950079 IP (tos 0x0, ttl 64, id 21715, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.38954 > ns1.infobox.org.domain: [udp sum ok] 41920 PTR? 250.140.221.77.in-addr.arpa. (45)
15:06:36.967615 IP (tos 0x0, ttl 58, id 49816, offset 0, flags [none], proto UDP (17), length 134)
    ns1.infobox.org.domain > $my_external_ip.38954: [udp sum ok] 41920*- q: PTR? 250.140.221.77.in-addr.arpa. 1/2/0 250.140.221.77.in-addr.arpa. [10m] PTR ns2.infobox.org. ns: 140.221.77.in-addr.arpa. [10m] NS ns1.infobox.org., 140.221.77.in-addr.arpa. [10m] NS ns2.infobox.org. (106)
15:07:24.099990 IP (tos 0x0, ttl 64, id 1625, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.11814 > 71-26-155-213.hosting.ua.domain: [udp sum ok] 57226 [1au] A? valdex-group.com. ar: . OPT UDPsize=4096 OK (45)
15:07:24.100007 IP (tos 0x0, ttl 64, id 52778, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.5197 > c6.nstld.com.domain: [udp sum ok] 59794% [1au] A? ns75.hostia.name. ar: . OPT UDPsize=4096 OK (45)
15:07:24.900134 IP (tos 0x0, ttl 64, id 30069, offset 0, flags [none], proto UDP (17), length 73)
    $my_external_ip.54414 > d6.nstld.com.domain: [udp sum ok] 27304% [1au] A? ns75.hostia.name. ar: . OPT UDPsize=512 OK (45)
15:07:25.075582 IP (tos 0x0, ttl 46, id 45705, offset 0, flags [none], proto UDP (17), length 141)
    d6.nstld.com.domain > $my_external_ip.54414: [udp sum ok] 27304- q: A? ns75.hostia.name. 0/2/3 ns: hostia.name. [3h] NS ns1.hostia.name., hostia.name. [3h] NS ns2.hostia.name. ar: ns1.hostia.name. [3h] A 178.86.30.137, ns2.hostia.name. [3h] A 176.9.119.37, . OPT UDPsize=4096 OK (113)
15:07:28.360955 IP (tos 0x0, ttl 64, id 19916, offset 0, flags [none], proto UDP (17), length 75)
    $my_external_ip.31070 > ns0.stack.net.domain: [udp sum ok] 28322 [1au] A? www.tns-counter.ru. ar: . OPT UDPsize=4096 OK (47)
15:07:28.372974 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto UDP (17), length 144)
    ns0.stack.net.domain > $my_external_ip.31070: [udp sum ok] 28322*- q: A? www.tns-counter.ru. 5/0/0 www.tns-counter.ru. [1h] A 217.73.200.220, www.tns-counter.ru. [1h] A 217.73.200.219, www.tns-counter.ru. [1h] A 217.73.200.221, www.tns-counter.ru. [1h] A 217.73.200.222, www.tns-counter.ru. [1h] A 217.73.200.218 (116)
Такая вот байда возникает волнами и убивает канал. IP назначения постоянно разные. Что уже делал: - включал syncookies, увеличивал очередь syn, уменьшал таймаут syn; - делал проверку всех компов свежим CureIT; - курил выводы dnstop на обоих интерфейсах; - закрывал 53-й порт для внутренней подсетки (--sport & --dport в iptables); - включал snort на ночь, алертов не было. Безрезультатно.

Куда еще копнуть, что еще можно сделать?

 ,

Crewger
()
19 комментариев

Трансляция пакетов в реальном времени

Есть шлюз под дебианом. Интерфейсы eth0 и eth1 - в интернет и в локалку соответственно, статический внешний IP. На шлюзе iptables и squid (NCSA-авторизация).
Имеется желание периодически мониторить в реальном времени, кто «кушает» канал, особенно исходящий (ADSL на 70 человек с IP-телефонией с его «выхлопом» - сущий ад, но альтернатив нет). iptraf на eth0 показывает адрес назначения -> адрес шлюза, на eth1 - адрес компа в локалке -> адрес шлюза. А вот соответствия между ними как-то добиться не получается. Пакеты ретранслируются то ли на иптаблицах, то ли на сквиде, понять ничо толком не могу.
Существует ли способ посмотреть, на подобие tcpdump'a, как и куда транслируются пакеты? Откуда, с какого порта, куда, на какой порт и т.д. Пробовал netstat-nat|grep $порт_назначения_на_шлюзе, в выводе пусто.
Товарищи гуру, подскажите!

 , , ,

Crewger
()
5 комментариев

SAMS2 через веб-интерфейс показывает отрицательное смещение в access.log 

Идентификатор прокси сервера	1
Способ аутентификации пользователя:	NCSA
Обрабатывать логи Squid	Запускать обработчик логов через N минут
Редиректор	Не использовать редиректор
Считать трафик	Реальный (Полученный прокси-сервером)
Смещение с начала файла access.log (byte)	-1631368827

Скопировал, как было. Соответственно, трафик идет лесом. Сам файл /var/log/squid/access.log несколько раз пересоздавал вручную, squid исправно его создает и наращивает. Но что бы я ни делал, sams'у пофигу. Конфиги не менялись, файловая система проверена, ошибок нет. Может подскажете, господа опытные линуксоиды, куда копать? Я просто с линухой не очень хорошо пока что знаком в плане администрирования. Буду благодарен.

 , ,

Crewger
()
21 комментарий

Debian squeeze+hard RAID1+Adaptec 2405 + 2x WD20EARS - низкая скорость чтения/записи

Что имеем: Adaptec 2405, RAID1 через его биос-утилиту, Debian Squeeze 2.6.32-5-686, MB Asus P8Q67-M DO, два харда WD20EARS, рейд подключен как /dev/sda1 в точку /home, системный хард на /dev/sdb.

При копировании одного файла на 1Гб с рейда на рейд же, скорость за считанные секунды падает с 30Мбайт/с до 2Мбайт/с, потом постепенно до 1.5.

Пару раз вылечилось перезагрузкой, скорость тогда поднялась до 80Мбайт и не падала, но через сутки проблема возобновлялась.

На /home/Share находится самбовая шара на ~50 юзеров, однако, даже до подключения хотя бы одного из них скорость оставалось низкой.

Вот выводы всяких логов и команд:

/var/log/messages: 

May 29 09:36:22 server kernel: [    1.391972] SCSI subsystem initialized
May 29 09:36:22 server kernel: [    1.404176] Adaptec aacraid driver 1.1-7[28700]
May 29 09:36:22 server kernel: [    1.404198] aacraid 0000:01:00.0: PCI INT A -> GSI 16 (level, low) -> IRQ 16
May 29 09:36:22 server kernel: [    1.405173] ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver
May 29 09:36:22 server kernel: [    1.465635] IRQ 16/aacraid: IRQF_DISABLED is not guaranteed on shared IRQs
May 29 09:36:22 server kernel: [    1.588644] e1000e 0000:00:19.0: eth0: (PCI Express:2.5GB/s:Width x1) f4:6d:04:65:e4:c7
May 29 09:36:22 server kernel: [    1.588646] e1000e 0000:00:19.0: eth0: Intel(R) PRO/1000 Network Connection
May 29 09:36:22 server kernel: [    1.588678] e1000e 0000:00:19.0: eth0: MAC: 10, PHY: 11, PBA No: FFFFFF-0FF
May 29 09:36:22 server kernel: [    1.588706] ata_piix 0000:00:1f.2: PCI INT B -> GSI 20 (level, low) -> IRQ 20
May 29 09:36:22 server kernel: [    1.588754] ata_piix 0000:00:1f.2: MAP [ P0 P2 P1 P3 ]
May 29 09:36:22 server kernel: [    1.669842] AAC0: kernel 5.2-0[18252] Nov 22 2010
May 29 09:36:22 server kernel: [    1.669845] AAC0: monitor 5.2-0[18252]
May 29 09:36:22 server kernel: [    1.669847] AAC0: bios 5.2-0[18252]
May 29 09:36:22 server kernel: [    1.669850] AAC0: serial 1D3811C48DC
May 29 09:36:22 server kernel: [    1.669852] AAC0: Non-DASD support enabled.
May 29 09:36:22 server kernel: [    1.676848] scsi0 : aacraid
May 29 09:36:22 server kernel: [    1.677012] scsi 0:0:0:0: Direct-Access     Adaptec  2405 Mirror      V1.0 PQ: 0 ANSI: 2
May 29 09:36:22 server kernel: [    1.682643] scsi 0:1:1:0: Direct-Access     WDC      WD20EARS-00M     51.0 PQ: 1 ANSI: 5
May 29 09:36:22 server kernel: [    1.682830] scsi 0:1:2:0: Direct-Access     WDC      WD20EARS-00M     51.0 PQ: 1 ANSI: 5
May 29 09:36:22 server kernel: [    1.726387] sd 0:0:0:0: [sda] 3900682240 512-byte logical blocks: (1.99 TB/1.81 TiB)
May 29 09:36:22 server kernel: [    1.726398] sd 0:0:0:0: [sda] Write Protect is off
May 29 09:36:22 server kernel: [    1.726418] sd 0:0:0:0: [sda] Write cache: disabled, read cache: enabled, supports DPO and FUA
May 29 09:36:22 server kernel: [    1.726509]  sda:
May 29 09:36:22 server kernel: [    1.742652] ata_piix 0000:00:1f.2: SCR access via SIDPR is available but doesn't work
May 29 09:36:22 server kernel: [    1.742727] scsi1 : ata_piix
May 29 09:36:22 server kernel: [    1.742762] scsi2 : ata_piix
May 29 09:36:22 server kernel: [    1.743531] ata1: SATA max UDMA/133 cmd 0xf130 ctl 0xf120 bmdma 0xf0f0 irq 20
May 29 09:36:22 server kernel: [    1.743533] ata2: SATA max UDMA/133 cmd 0xf110 ctl 0xf100 bmdma 0xf0f8 irq 20

lspci -v | tail:

01:00.0 RAID bus controller: Adaptec AAC-RAID (rev 09)
	Subsystem: Adaptec ASR-2405
	Flags: bus master, fast devsel, latency 0, IRQ 16
	Memory at fe400000 (64-bit, non-prefetchable) [size=2M]
	Expansion ROM at fe600000 [disabled] [size=512K]
	Capabilities: [98] Power Management version 2
	Capabilities: [a0] MSI: Enable- Count=1/2 Maskable- 64bit+
	Capabilities: [d0] Express Endpoint, MSI 00
	Capabilities: [90] Vital Product Data
	Capabilities: [100] Advanced Error Reporting
	Kernel driver in use: aacraid

modprobe -l|grep aac: 

kernel/drivers/scsi/aacraid/aacraid.ko

S.M.A.R.T.ы на дисках ничего плохого не показывают. Делал дважды verify+fix логического диска через утилиту Adaptec Storage Manager, всё чисто.

Харды поменять возможности нет, контроллер - тем более. Подскажите, пожалуйста, куда копнуть.

 ,

Crewger
()
6 комментариев

RSS подписка на новые темы