Re: lug-bg: treason unloacked

[George Danchev <danchev@xxxxxxxxx>]

On Monday 20 June 2005 22:41, Nikola Antonov wrote:
> George Danchev wrote:
> >On Monday 20 June 2005 11:44, Hristo Chernev wrote:
> >>Здравей,
> >>Имам подобен проблем отпреди година поне, също като теб пуснах до листата
> >>описание на проблема но явно никой не се беше сблъсквал и така си и
> >> остана. Ето линк за постинга ми:
> >>http://linux-bulgaria.org/webarchive/2004/Dec/32198.html
> >>Този (д)ефект ( или напълно изчезване на машината - краш ) се получава
> >> горе долу веднъж в месеца. Повечето случаи има  Treason Uncloaked
> >> съобщения в лога. Разликата е че аз съм с апаче 1.
> >>Затова с голям интерес чаках някой да ти отговори , но уви...
> >>Понеже почнах да подозирам драйверите на мрежовата карта или самата карта
> >>искам да те питам с каква карта си? И има ли някакви нови разкрития при
> >>теб?
> >
> >Сега се сетих ;-) Тогава го оприличих по-скоро на SYN атака, но май не е.
> > Не трябва да подозираш драйвера на картата, а TCP кода (в лога пише ли,
> > че идва от kernel: TCP:...?) който се бори с това некоректно или
> > нападателно поведение на отсрещната страна (дето си свива tcp window [1]
> > волно или неволно). Щом принти Treason Uncloaked, значи ядрото е заловило
> > нарушението по свиване на tcp джама (което нарушава и TCP RFC btw) и
> > взима мерки. Ето някои обяснения на google:
>
> Съветите на Георги както винаги са изпълнени с полезна информация, но
> според мен специално в моя случай ми се струва, ме причината е съвсем
> прозаична. След като блокирах подозрителния адрес, на следващия ден
> фалът се случи отново. Впоследствие видях, че има някаква закономерност
> - 6.30 сутринта. Тогава apache ротейтва логовете на някои сайтове, но
> проблемът е, че access.log-а на един от сайтовете беше станал 21G!!!
> Точно на този сайт логът си се е пълнел с месеци, без да се "разцепи" на
> по-малки парчета. Оправих го и мисля, че оттам са идвали крашванията на
> апаха. Да видим. Иначе мрежовата ми карта е Intel (100 мегабита), ядро
> 2.6.11-rc1 (оттогава, т.е. откакто излезе това ядро, машината не е
> спирала и затова не съм го пипал, пък и тези проблеми изскочиха
> отскоро), модулът е известният e100.

Това за лога на апаха е едно на ръка, но присъствието в лог-а на съобщения от 
вида: TCP: Treason uncloaked! Peer .... shrinks window ... . Repaired.
означава, че ядрото си е имало работа с ниско интелигентна TCP имплементация 
отсреща и то е документирано ;-) Аз съм сигурен, че днешните ядра няма да му 
много цепят басма, ще го носи и по-някое време ще го отцепи / при теб не е и 
ставало дума за ребуут / , но не съм сигурен това как може да повлияе на 
приложението / апаха в случая /. Следи логовете и ще кажеш.

-- 
pub 4096R/0E4BD0AB 2003-03-18 <danchev.fccf.net/key pgp.mit.edu>
fingerprint    1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB