URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 38070
[ Назад ]

Исходное сообщение
"NATD забирает все ресурсы процессора"
Отправлено Psy , 04-Дек-03 10:52

Друзья, имею сервер доступа FREebsd 4.8, ipfw, nat, . Вот обнаружилась вчера проблема.. Top показал, что natd забирает все русурсы цпу (90-97%), в результате доступ в нет всей сети отрубается... путем последовательного исключения обнаружилось, что проблеа скрыта в одном из сегментов, сегодня будем сужать круг поисков,
но вот вопрос - что это может быть?
Допустим это сбойная сетевая карта и она сыплет пакетами заваливая natd- как в дальнейшем автоматизировать процесс, чтобы, допустим, при появлении такого узла в сети, весь трафик от него заворачиваля в черную дыру, а все остальные пользователи ничего бы не замечали. И чтобы, конечно, какое-то извещение об этом где-нибудь оставлялось бы...

Содержание

NATD забирает все ресурсы процессора,Psy, 10:57 , 04-Дек-03
- NATD забирает все ресурсы процессора,Psy, 11:33 , 04-Дек-03
  - NATD забирает все ресурсы процессора,Aliv, 12:06 , 04-Дек-03
    - NATD забирает все ресурсы процессора,Psy, 12:15 , 04-Дек-03
      - NATD забирает все ресурсы процессора,Aliv, 12:34 , 04-Дек-03
      - NATD забирает все ресурсы процессора,Psy, 12:37 , 04-Дек-03

Сообщения в этом обсуждении

"NATD забирает все ресурсы процессора"
Отправлено Psy , 04-Дек-03 10:57

Да, и еще вопрос.. можно ли с сервер апосмотреть с какого ай пи приходит этот геморой?

"NATD забирает все ресурсы процессора"
Отправлено Psy , 04-Дек-03 11:33

Продолжаю рассказ, вот сегодня история повторилась, но уже с выключенным сегментом, который выключили вчера... После 10 минут ожидания мне удалось зайти по ссх и перезагрузить машину удаленно... уже 15 минут все работало нормально... и вот снова все....

"NATD забирает все ресурсы процессора"
Отправлено Aliv , 04-Дек-03 12:06

>Продолжаю рассказ, вот сегодня история повторилась, но уже с выключенным сегментом, который
>выключили вчера... После 10 минут ожидания мне удалось зайти по ссх
>и перезагрузить машину удаленно... уже 15 минут все работало нормально... и
>вот снова все....
В портах есть /usr/ports/net/trafshow
Можешь посмотреть свои интерфейсы.
по IP
trafshow -i fxp0 net 192.168.0.1
~~~~ ~~~~~~~~~~~
по МАС
trafshow -i fxp0 ether src XX:XX:XX:XX:XX:XX
~~~~ ~~~~~~~~~~~~~~~~~
почитай man, если нужно смотреть сегментами.

"NATD забирает все ресурсы процессора"
Отправлено Psy , 04-Дек-03 12:15

trafshow учтановлен и работает, и на что я должен обратить внимание в его выводе, чтобы сделать какие либо выводы?

"NATD забирает все ресурсы процессора"
Отправлено Aliv , 04-Дек-03 12:34

>trafshow учтановлен и работает, и на что я должен обратить внимание в
>его выводе, чтобы сделать какие либо выводы?
Посмотри с какого IP валиться трафик.
Отключи его от сети и понаблюдай снова.
Локализуй машину и дальше разбирайся с ней.

"NATD забирает все ресурсы процессора"
Отправлено Psy , 04-Дек-03 12:37

Продолжаю повествование... нашелся в сети хост, который непрерывно эхо шлет запросы по типу червя sobig-f с перебором последовательно всех адресов... а таже обращается на :
192.168.10.23..echoreqst                     drpc1191.nerc-dorset.ac.uk                   icmp                92
192.168.10.23..4130                          drpc1191.nerc-dorset.ac.uk..loc-srv          tcp                 96
192.168.10.23..echoreqst                     bisbv.nerc-bidston.ac.uk                     icmp                92 18
192.168.10.23..echoreqst                     bisbw.nerc-bidston.ac.uk                     icmp                92 18
Но что самое интересное это не перегружает natd....
Какие идеи?