URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95491
[ Назад ]

Исходное сообщение
"Забивается интернет канал"
Отправлено mrs.blaileen , 13-Мрт-14 13:04

FreeBSD 9.0 - шлюз в инет. Сетка около 100 пользователей. Прокси - Squid, что-то закрыто\открыто файрволлом IPFW, pure-ftpd с обменами мелкими файликами. Канал в инет 20 Мбит/с.
С недавнего времени канал начал чем-то забиваться. Пинг на шлюз провайдера идет с 50% потерей пакетов. Провайдер говорит, что трафик поднимается до 40-60 Мбит. TCPtrack показывает скорость на обоих интерфейсах стабильно 1-2 Мбита. В итоге помогает только перегрузка сервака и только часа на 3-4, после чего ситуация возвращается в прежнее русло.
Есть какие-нибудь еще варианты отслеживания, что может забивать канал?

Содержание

Забивается интернет канал,михалыч, 13:24 , 13-Мрт-14
- Забивается интернет канал,mrs.blaileen, 14:06 , 13-Мрт-14
  - Забивается интернет канал,tonys, 14:13 , 13-Мрт-14
    - Забивается интернет канал,mrs.blaileen, 14:15 , 13-Мрт-14
      - Забивается интернет канал,tonys, 14:28 , 13-Мрт-14
        
        Забивается интернет канал,mrs.blaileen, 15:28 , 13-Мрт-14

Сообщения в этом обсуждении

"Забивается интернет канал"
Отправлено михалыч , 13-Мрт-14 13:24

> FreeBSD 9.0 - шлюз в инет. Сетка около 100 пользователей. Прокси -
> Squid, что-то закрыто\открыто файрволлом IPFW, pure-ftpd с обменами мелкими файликами.
> Канал в инет 20 Мбит/с.
> С недавнего времени канал начал чем-то забиваться. Пинг на шлюз провайдера идет
> с 50% потерей пакетов. Провайдер говорит, что трафик поднимается до 40-60
> Мбит. TCPtrack показывает скорость на обоих интерфейсах стабильно 1-2 Мбита. В
> итоге помогает только перегрузка сервака и только часа на 3-4, после
> чего ситуация возвращается в прежнее русло.
> Есть какие-нибудь еще варианты отслеживания, что может забивать канал?
использовать tcpdump, trafshow, wireshark
давайте сюда, всё равно попросят ))
uname -a
top
netstat -nid

"Забивается интернет канал"
Отправлено mrs.blaileen , 13-Мрт-14 14:06

> использовать tcpdump, trafshow, wireshark
А trafshow у меня тоже есть, но мне он показался более запутанным, чем tcptrack. Остальные попробую потыкать.
> давайте сюда, всё равно попросят ))
> uname -a
FreeBSD pollux 9.0-RELEASE FreeBSD 9.0-RELEASE #3: Mon Apr  2 19:09:01 MSK 2012     akasa@pollux:/usr/obj/usr/src/sys/HL_SPB_12  i386
> top
last pid:  2938;  load averages:  0.31,  0.28,  0.30                                                                                                                                                                 up 0+01:12:54  14:04:40
51 processes:  1 running, 50 sleeping
CPU:  4.9% user,  0.0% nice,  2.8% system,  3.5% interrupt, 88.8% idle
Mem: 97M Active, 368M Inact, 101M Wired, 184K Cache, 112M Buf, 1394M Free
Swap: 4096M Total, 4096M Free
  PID USERNAME   THR PRI NICE   SIZE    RES STATE   C   TIME   WCPU COMMAND
1477 root         1  26    0  9776K  2492K select  1   7:28  9.47% natd
1807 root         1  21    0 11296K  2572K select  1   2:13  2.88% ntpd
2181 squid        1  21    0 62988K 41484K kqread  1   2:36  0.59% squid
1633 bind         5  20    0 48448K 30528K kqread  0   0:08  0.00% named
2156 akasa        1  20    0 15788K  4860K select  1   0:01  0.00% sshd
2182 squid        1  20    0  9740K  1404K sbwait  1   0:01  0.00% dnsserver
2015 root         1  20    0 78768K 22108K select  0   0:01  0.00% httpd
2187 squid        1  20    0  1636K   800K piperd  0   0:00  0.00% unlinkd
2234 root         1  20    0  9612K  1384K select  1   0:00  0.00% syslogd
2183 squid        1  20    0  9740K  1404K sbwait  1   0:00  0.00% dnsserver
2223 root         1  20    0 13412K  5624K select  0   0:00  0.00% mc
1933 dhcpd        1  20    0  9544K  3700K select  1   0:00  0.00% dhcpd
2188 squid        1  20    0  9740K  1336K select  1   0:00  0.00% pinger
1750 root         1  22    0 12596K  2200K select  1   0:00  0.00% pure-ftpd
2184 squid        1  20    0  9740K  1404K sbwait  1   0:00  0.00% dnsserver
2153 root         1  20    0 15788K  4812K sbwait  0   0:00  0.00% sshd
2051 root         1  20    0 11324K  3772K select  0   0:00  0.00% sendmail
2185 squid        1  20    0  9740K  1404K sbwait  0   0:00  0.00% dnsserver
1745 root         2  26    0 20484K  3580K select  1   0:00  0.00% mpd5
2186 squid        1  20    0  9740K  1368K sbwait  1   0:00  0.00% dnsserver
1991 mysql        2  20    0 94312K 11136K sigwai  1   0:00  0.00% mysqld
2160 root         1  26    0 10968K  2716K pause   0   0:00  0.00% csh
2938 root         1  20    0  9944K  1892K CPU0    0   0:00  0.00% top
2224 root         1  20    0 10968K  2716K pause   0   0:00  0.00% csh
2062 root         1  20    0  9644K  1432K nanslp  1   0:00  0.00% cron
2149 root         1  52    0  9612K  1192K ttyin   1   0:00  0.00% getty
1957 mysql        1  52    0  9924K  1616K wait    1   0:00  0.00% sh
2157 akasa        1  21    0  9924K  1812K wait    0   0:00  0.00% sh
2159 akasa        1  20    0 10124K  1908K wait    0   0:00  0.00% su
2189 www          1  20    0 78768K 22200K accept  0   0:00  0.00% httpd
2046 www          1  20    0 78768K 22148K accept  1   0:00  0.00% httpd
2249 www          1  20    0 78768K 22188K accept  1   0:00  0.00% httpd
2250 www          1  20    0 78768K 22144K accept  0   0:00  0.00% httpd
2047 www          1  20    0 78768K 22144K accept  0   0:00  0.00% httpd
2251 www          1  20    0 78768K 22144K accept  1   0:00  0.00% httpd
1167 root         1  20    0 12128K  2608K select  0   0:00  0.00% devd
2048 www          1  30    0 78768K 22132K accept  1   0:00  0.00% httpd
2055 smmsp        1  20    0 11324K  3572K pause   0   0:00  0.00% sendmail
2039 root         1  20    0 13064K  3932K select  0   0:00  0.00% sshd
2144 root         1  52    0  9612K  1192K ttyin   1   0:00  0.00% getty
2049 www          1  30    0 78768K 22132K accept  0   0:00  0.00% httpd
2147 root         1  52    0  9612K  1192K ttyin   1   0:00  0.00% getty
2145 root         1  52    0  9612K  1192K ttyin   0   0:00  0.00% getty
2148 root         1  52    0  9612K  1192K ttyin   1   0:00  0.00% getty
2150 root         1  52    0  9612K  1192K ttyin   0   0:00  0.00% getty
2050 www          1  30    0 78768K 22132K accept  1   0:00  0.00% httpd
2146 root         1  52    0  9612K  1192K ttyin   1   0:00  0.00% getty
2143 root         1  52    0  9612K  1192K ttyin   0   0:00  0.00% getty
2179 squid        1  52    0  9740K  2236K wait    1   0:00  0.00% squid
2108 root         1  52    0  9668K  1284K select  1   0:00  0.00% inetd
  102 root         1  52    0  9532K   948K pause   0   0:00  0.00% adjkerntz

> netstat -nid
/usr/sbin/>netstat -nid
Name    Mtu Network       Address              Ipkts Ierrs Idrop    Opkts Oerrs  Coll Drop
re0    1500 <Link#1>      50:e5:49:87:ab:e6  3966602     0     0  6496933     0     0    0
re0    1500 192.168.0.0/2 192.168.0.1        1384538     -     -  2894474     -     -    -
re0    1500 178.238.31.0/ 178.238.31.1             0     -     -        0     -     -    -
re0    1500 192.168.22.0/ 192.168.22.1             0     -     -        0     -     -    -
usbus     0 <Link#2>                               0     0     0        0     0     0    0
usbus     0 <Link#3>                               0     0     0        0     0     0    0
usbus     0 <Link#4>                               0     0     0        0     0     0    0
usbus     0 <Link#5>                               0     0     0        0     0     0    0
usbus     0 <Link#6>                               0     0     0        0     0     0    0
re1    1500 <Link#7>      00:0c:76:ae:b6:94  7689627     0     0 13868893     0     0    0
re1    1500 37.46.63.32/2 37.46.63.34        4135927     -     - 13500386     -     -    -
re1    1500 fe80::20c:76f fe80::20c:76ff:fe        0     -     -        0     -     -    -
plip0  1500 <Link#8>                               0     0     0        0     0     0    0
ipfw0 65536 <Link#9>                               0     0     0        0     0     0    0
lo0   16384 <Link#10>                          13755     0     0    13672     0     0    0
lo0   16384 ::1/128       ::1                      0     -     -        0     -     -    -
lo0   16384 fe80::1%lo0/6 fe80::1                  0     -     -        0     -     -    -
lo0   16384 127.0.0.0/8   127.0.0.1             2738     -     -    13637     -     -    -

"Забивается интернет канал"
Отправлено tonys , 13-Мрт-14 14:13

>1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd
Похоже тебя DDOSят через уязвимость в ntpd
Посмотри трафик udp на 123 порт.

"Забивается интернет канал"
Отправлено mrs.blaileen , 13-Мрт-14 14:15

>>1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd
> Похоже тебя DDOSят через уязвимость в ntpd
> Посмотри трафик udp на 123 порт.
У меня уже появлялась мысль о ДДОСе. А как лучше посмотреть?

"Забивается интернет канал"
Отправлено tonys , 13-Мрт-14 14:28

>>>1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd
>> Похоже тебя DDOSят через уязвимость в ntpd
>> Посмотри трафик udp на 123 порт.
> У меня уже появлялась мысль о ДДОСе. А как лучше посмотреть?
Что лучше каждый решает для себя сам. Я пользуюсь trafshow.

"Забивается интернет канал"
Отправлено mrs.blaileen , 13-Мрт-14 15:28

>>>>1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd
>>> Похоже тебя DDOSят через уязвимость в ntpd
>>> Посмотри трафик udp на 123 порт.
>> У меня уже появлялась мысль о ДДОСе. А как лучше посмотреть?
> Что лучше каждый решает для себя сам. Я пользуюсь trafshow.
Вообще, красиво, конечно. Тыкаю
ipfw add 6 reject all from any to me dst-port 123
и
ipfw del 6
И смотрю как меняется картина с пингом и на том же trafshow.
Вобщем, идея ясна. Всем спасибо.