Suse 10.3 "виснет"

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 13:23:33

Очень странная проблема - "виснет сервер" с некоторой переодичностью.
Виснет в кавычках, т.к. не знаю, как иначе это охарактеризовать, но под виснет не очень подходит.

Сервер НЕ перестает отвечать на пинг (т.е. нормально пингуется), но при этом все сервисы и даже SSH открыть нельзя - просто висит в ожидании, даже не сваливается на "соедиение отвергнуто" или что-то похожее.

После рестарта ведет себя как ни в чем не бывало, как будто все было хорошо и никаких проблема.

В messages было обнаружено нечто специфичное (по крайней мере я раньше не встречала и не знаю что это значит)

Код: Выделить всё

Oct 31 12:43:21 server kernel: printk: 1 messages suppressed.
Oct 31 12:43:21 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54034 shrinks window 572687318:572687376. Repaired.
Oct 31 12:43:21 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54037 shrinks window 583855946:583856004. Repaired.
Oct 31 12:43:21 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54057 shrinks window 874719401:874719459. Repaired.
Oct 31 12:43:21 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54056 shrinks window 855795144:855795202. Repaired.
Oct 31 12:43:21 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54067 shrinks window 1420115961:1420116019. Repaired.
Oct 31 12:43:31 server kernel: printk: 5 messages suppressed.
Oct 31 12:43:31 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54468 shrinks window 3212450328:3212450386. Repaired.
Oct 31 12:43:31 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54470 shrinks window 3198212641:3198212699. Repaired.
Oct 31 12:43:42 server kernel: printk: 7 messages suppressed.
Oct 31 12:43:42 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54619 shrinks window 339011444:339011502. Repaired.
Oct 31 12:43:42 server kernel: printk: 1 messages suppressed.
Oct 31 12:43:42 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54721 shrinks window 2617493032:2617493092. Repaired.
Oct 31 12:43:45 server kernel: printk: 15 messages suppressed.
Oct 31 12:43:46 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/54962 shrinks window 2080087429:2080087487. Repaired.
Oct 31 12:44:00 server kernel: printk: 23 messages suppressed.
Oct 31 12:44:00 server kernel: TCP: Treason uncloaked! Peer 77.222.40.36:80/55675 shrinks window 1887527811:1887527871. Repaired.



Помогите найти причину проблемы.
Заранее спасибо за помощь :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 13:33:19

http://www.opennet.ru/openforum/vsluhfo ... 51150.html у товарища схожая проблема, говорят, что это похоже по эффекту на ДДОС атаку,
вот http://kerneltrap.org/node/7182#comment-214739 приводят пример скрипта, как бороться.

Насколько по вашему мнению это актуальный способ? Как лучше избежать подобных ситуауций?

.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 14:10:40

пока добавила в apache модуль mod_evasive (http://www.zdziarski.com/projects/mod_evasive/) для ограничения числа одновременных подключений.

rainy
мл. сержант
Сообщения: 76
Зарегистрирован: 2008-02-01 23:26:45

Re: Suse 10.3 "виснет"

Непрочитанное сообщение rainy » 2008-10-31 14:46:47

похоже на ДДОС, посмотри по netstat, что показывает

.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 15:07:58

если ДДОС - как бороться ?
(у дата-центра подключать спец. оборудование для защиты стоит очень дорого %( )
Вложения
netstat.txt
(65.91 КБ) 91 скачивание

.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 15:08:44

p.s. но так как это текущий нетстат, не факт что данные о атаке есть (если она кончилась)

.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 15:13:08

но кстати даже сейчас очень много соединений с ppp85-140-159-220:49395 в стадии TIME_WAIT

rainy
мл. сержант
Сообщения: 76
Зарегистрирован: 2008-02-01 23:26:45

Re: Suse 10.3 "виснет"

Непрочитанное сообщение rainy » 2008-10-31 15:29:40

соединений мало! это не ддос.
да и этот хост из лога тоже висит в подключениях. так что причину нужно искать дальше я думаю

.scu
сержант
Сообщения: 198
Зарегистрирован: 2008-05-26 11:25:08
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение .scu » 2008-10-31 15:46:29

raine - это на текущий момент, сейчас его возможно уже и нет. но 144 от одного IP это тоже не так мало на самом деле и все в стадии WAIT

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: Suse 10.3 "виснет"

Непрочитанное сообщение koffu » 2008-11-17 23:21:36

Нужно проверить еще раз настройки TCP. Траффик не приходит случайно через DSL? Есть подозрения на неправильный MTU. нужно больше деталей.