On Monday 20 June 2005 22:41, Nikola Antonov wrote: > George Danchev wrote: > >On Monday 20 June 2005 11:44, Hristo Chernev wrote: > >>Здравей, > >>Имам подобен проблем отпреди година > >>поне, също като теб пуснах до листата > >>описание на проблема но явно никой не се > >>беше сблъсквал и така си и > >> остана. Ето линк за постинга ми: > >>http://linux-bulgaria.org/webarchive/2004/Dec/32198.html > >>Този (д)ефект ( или напълно изчезване на > >>машината - краш ) се получава > >> горе долу веднъж в месеца. Повечето > >> случаи има Treason Uncloaked > >> съобщения в лога. Разликата е че аз съм с > >> апаче 1. > >>Затова с голям интерес чаках някой да ти > >>отговори , но уви... > >>Понеже почнах да подозирам драйверите на > >>мрежовата карта или самата карта > >>искам да те питам с каква карта си? И има > >>ли някакви нови разкрития при > >>теб? > > > >Сега се сетих ;-) Тогава го оприличих > >по-скоро на SYN атака, но май не е. > > Не трябва да подозираш драйвера на > > картата, а TCP кода (в лога пише ли, > > че идва от kernel: TCP:...?) който се бори с това > > некоректно или > > нападателно поведение на отсрещната > > страна (дето си свива tcp window [1] > > волно или неволно). Щом принти Treason Uncloaked, > > значи ядрото е заловило > > нарушението по свиване на tcp джама (което > > нарушава и TCP RFC btw) и > > взима мерки. Ето някои обяснения на google: > > Съветите на Георги както винаги са > изпълнени с полезна информация, но > според мен специално в моя случай ми се > струва, ме причината е съвсем > прозаична. След като блокирах > подозрителния адрес, на следващия ден > фалът се случи отново. Впоследствие видях, > че има някаква закономерност > - 6.30 сутринта. Тогава apache ротейтва > логовете на някои сайтове, но > проблемът е, че access.log-а на един от > сайтовете беше станал 21G!!! > Точно на този сайт логът си се е пълнел с > месеци, без да се "разцепи" на > по-малки парчета. Оправих го и мисля, че > оттам са идвали крашванията на > апаха. Да видим. Иначе мрежовата ми карта е > Intel (100 мегабита), ядро > 2.6.11-rc1 (оттогава, т.е. откакто излезе това > ядро, машината не е > спирала и затова не съм го пипал, пък и > тези проблеми изскочиха > отскоро), модулът е известният e100.
Това за лога на апаха е едно на ръка, но присъствието в лог-а на съобщения от вида: TCP: Treason uncloaked! Peer .... shrinks window ... . Repaired. означава, че ядрото си е имало работа с ниско интелигентна TCP имплементация отсреща и то е документирано ;-) Аз съм сигурен, че днешните ядра няма да му много цепят басма, ще го носи и по-някое време ще го отцепи / при теб не е и ставало дума за ребуут / , но не съм сигурен това как може да повлияе на приложението / апаха в случая /. Следи логовете и ще кажеш. -- pub 4096R/0E4BD0AB 2003-03-18 <danchev.fccf.net/key pgp.mit.edu> fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB
