nixp.ru v3.0

23 мая 2017,
вторник,
08:12:34 MSK

DevOps с компанией «Флант»
New_User написал 26 сентября 2007 года в 22:56 (471 просмотр) Ведет себя неопределенно; открыл 5 тем в форуме, оставил 24 комментария на сайте.

Добрый вечер! Помогите разобраться. В сети кто-то принес заразу.. Эта зараза валит сеть в перегрузку. Раньше пинг на шлюз был меньше 1 мс, сейчас в лучшем случае 1500-2000 мс, и то, из 20 пакетов 60% потерь. Ночью, когда в сетке 5-6 машин, сеть работает отлично, пинг как и должен быть, меньше 1 мс. Сеть 200-220 машин, на обычных 100 мб/с свитчах.

Как вычислить от кого идет флуд который валит сеть? Источник может быть не один…

Очень надеюсь на помощь или хотя бы подсказку куда копать…..

metal
New_User
Сеть 200-220 машин, на обычных 100 мб/с свитчах.

Что за обычные свитчи? Управлять ими можно? Для начала обычный tcpdump.

New_User

свитчи неуправляемые. tcpdump приложу позже.

New_User

что-то tcpdump кроме сединений с DC++ и фтп сервером на моей машине больше ничего не показывает… или я что-то неправильно делаю…

Curu3MyHg

Может там у тебя где-то обычная закольцовочка..?

metal

Если tcpdump ничего интересного не показал, пора переходить к traceroute, заодно и закольцовочки можно отловить.

New_User

traceroute ничего не показывает…

# traceroute 172.1.1.254

traceroute to 172.1.1.254 (172.1.1.254), 30 hops max, 38 byte packets

1 172.1.1.254 (172.1.1.254) 39.904 ms 26.240 ms 52.364 ms

и все.

машины пользователей имеют адреса 172.1.1.1-172.1.1.253

шлюз имеет адрес 172.1.1.254

все соеденино через неуправляемые свитчи. На шлюзе висит еще биллинг, почта… Флуд из-за которого лагает сеть и инет находится внутри сети и идет с машин пользователей, как вычислить от кого он идет?

Пы.Сы. Особо не пинайте :), я еще только учусь.. и про гугл не забываю… :)

New_User

на время в traceroute не смотрите, написал когда смог пробиться к интеренету, обычно во время флуда там время в 4х значных числах…

New_User

пинг на шлюз во время написания про traceroute

$ ping -c 5 172.1.1.254

PING 172.1.1.254 (172.1.1.254) 56(84) bytes of data.

64 bytes from 172.1.1.254: icmp_seq=1 ttl=64 time=1.34 ms

64 bytes from 172.1.1.254: icmp_seq=2 ttl=64 time=1.37 ms

64 bytes from 172.1.1.254: icmp_seq=3 ttl=64 time=0.799 ms

64 bytes from 172.1.1.254: icmp_seq=4 ttl=64 time=0.769 ms

64 bytes from 172.1.1.254: icmp_seq=5 ttl=64 time=0.874 ms

— 172.1.1.254 ping statistics —

5 packets transmitted, 5 received, 0% packet loss, time 4003ms

rtt min/avg/max/mdev = 0.769/1.032/1.378/0.271 ms

пинг примерно такой как и должен быть, хотя до этой заразы был стабильно меньше 1мс

metal

Надо мерить время до машин пользователей, а не до шлюза. Маленький скрипт позволит тебе собрать полную статистику. Скорее всего машины с самым большим временем доступа и будут виновниками.

Curu3MyHg
metal
Если tcpdump ничего интересного не показал, пора переходить к traceroute, заодно и закольцовочки можно отловить.

Я имел в виду закольцовочку на втором уровне, обычный луп. А если дело в этом.. Ну, вдруг там по вечерам какой-то умник включает свитч вместе с телевизором, а в этом его свитче волосы.. :)

Свитчи неуправляемые --> бегать ногами по сети и вычислять проблемное место методом научного тыка. Отключил кусок сети, посмотрел, стало ли лучше и т.д.

ЗЫ Только странно как-то, что tcpdump ничего не показывает..