New_User
написал 26 сентября 2007 года в 22:56 (992 просмотра)
Ведет себя
неопределенно; открыл 5 тем в форуме, оставил 24 комментария на сайте.
Добрый вечер! Помогите разобраться. В сети кто-то принес заразу.. Эта зараза валит сеть в перегрузку. Раньше пинг на шлюз был меньше 1 мс, сейчас в лучшем случае 1500-2000 мс, и то, из 20 пакетов 60% потерь. Ночью, когда в сетке 5-6 машин, сеть работает отлично, пинг как и должен быть, меньше 1 мс. Сеть 200-220 машин, на обычных 100 мб/с свитчах.
Как вычислить от кого идет флуд который валит сеть? Источник может быть не один…
Очень надеюсь на помощь или хотя бы подсказку куда копать…..
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Что за обычные свитчи? Управлять ими можно? Для начала обычный tcpdump.
свитчи неуправляемые. tcpdump приложу позже.
что-то tcpdump кроме сединений с DC++ и фтп сервером на моей машине больше ничего не показывает… или я что-то неправильно делаю…
Может там у тебя где-то обычная закольцовочка..?
Если tcpdump ничего интересного не показал, пора переходить к traceroute, заодно и закольцовочки можно отловить.
traceroute ничего не показывает…
# traceroute 172.1.1.254
traceroute to 172.1.1.254 (172.1.1.254), 30 hops max, 38 byte packets
1 172.1.1.254 (172.1.1.254) 39.904 ms 26.240 ms 52.364 ms
и все.
машины пользователей имеют адреса 172.1.1.1-172.1.1.253
шлюз имеет адрес 172.1.1.254
все соеденино через неуправляемые свитчи. На шлюзе висит еще биллинг, почта… Флуд из-за которого лагает сеть и инет находится внутри сети и идет с машин пользователей, как вычислить от кого он идет?
Пы.Сы. Особо не пинайте :), я еще только учусь.. и про гугл не забываю… :)
на время в traceroute не смотрите, написал когда смог пробиться к интеренету, обычно во время флуда там время в 4х значных числах…
пинг на шлюз во время написания про traceroute
$ ping -c 5 172.1.1.254
PING 172.1.1.254 (172.1.1.254) 56(84) bytes of data.
64 bytes from 172.1.1.254: icmp_seq=1 ttl=64 time=1.34 ms
64 bytes from 172.1.1.254: icmp_seq=2 ttl=64 time=1.37 ms
64 bytes from 172.1.1.254: icmp_seq=3 ttl=64 time=0.799 ms
64 bytes from 172.1.1.254: icmp_seq=4 ttl=64 time=0.769 ms
64 bytes from 172.1.1.254: icmp_seq=5 ttl=64 time=0.874 ms
— 172.1.1.254 ping statistics —
5 packets transmitted, 5 received, 0% packet loss, time 4003ms
rtt min/avg/max/mdev = 0.769/1.032/1.378/0.271 ms
пинг примерно такой как и должен быть, хотя до этой заразы был стабильно меньше 1мс
Надо мерить время до машин пользователей, а не до шлюза. Маленький скрипт позволит тебе собрать полную статистику. Скорее всего машины с самым большим временем доступа и будут виновниками.
Я имел в виду закольцовочку на втором уровне, обычный луп. А если дело в этом.. Ну, вдруг там по вечерам какой-то умник включает свитч вместе с телевизором, а в этом его свитче волосы.. :)
Свитчи неуправляемые --> бегать ногами по сети и вычислять проблемное место методом научного тыка. Отключил кусок сети, посмотрел, стало ли лучше и т.д.
ЗЫ Только странно как-то, что tcpdump ничего не показывает..