| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
 Добавлено: Вт Янв 25 2005 16:45 Заголовок сообщения: Treason uncloaked! |
 |
|
TCP: Treason uncloaked! Peer 80.92.200.53:48308/80 shrinks window 3954337668:395
4337669. Repaired.
TCP: Treason uncloaked! Peer 80.92.200.53:48308/80 shrinks window 3954337668:395
4337669. Repaired.
Прошу помочь разобраться - что значат эти сообщения ядра, полученные по команде dmesg | less ??
ASP linux 9.2
Заранее благодарен и ожидаю скорейшего ответа!
_________________
All is not lost!  |
|
| Вернуться к началу |
|
 |
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 25 2005 17:05 Заголовок сообщения: |
|
|
up
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Вт Янв 25 2005 18:21 Заголовок сообщения: |
|
|
скорейшего ответа не получится. он займет очень много времени и места :) скажу лишь, что связано это с понятиями "окно приема TCP" и RTT. могу посоветовать:
1. почитать и вникнуть в книгу http://www.zeiss.net.ru/docs/technol/tcpip/tcp00.htm. обратить внимание на главы 18, 21, 22, 23.
2. разбрать затем код
/usr/src/linux/net/ipv4/tcp_timer.c |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 09:08 Заголовок сообщения: |
|
|
Эйнштейн сказал - "если ученый не может 9 летнему мальчику в простой и ясной форме объяснить суть своей работы, это не ученый, а шарлатан"....я явно не 9 летний мальчик (хотя и камнями бросаться не надо....
значит вы шарлатан.
"Ответ типа - иди почитай, я и сам толком не знаю" - мне явно не нужен...извините.
Придется опять просить and3008  все равно лучше его тут нет никого.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 09:54 Заголовок сообщения: |
|
|
Я не из праздного любопытства задаю здесь вопросы и не подколов ради - проблемы на сервере...начал перезагружаться самостоятельно, упала производительность - пытаюсь определить причину.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 10:18 Заголовок сообщения: |
|
|
up
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 10:25 Заголовок сообщения: |
|
|
ок. обьясню популярно, раз пошли такие обвинения.
обычно эта ошибка связана с тем, что окно приема TCP на стороне клиента сужено до 0. это может быть вызвано как ошибкой TCP/IP стека на стороне клиента, глючным девайсом на маршруте следования пакета, так и сознательной попыткой сделать гадость.
в логах есть какие либо еще сообщения об error'ах, касающиеся TCP/IP? какие приложения работают на серваке наружу? |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 10:31 Заголовок сообщения: |
|
|
Наружу postfix, apache, ftp
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 10:32 Заголовок сообщения: |
|
|
о каком окне ты говоришь? Сокет? MTU?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 10:33 Заголовок сообщения: |
|
|
| вопрос про приложение снимаю. кто то глюкает ваш Apache (или что у вас за web сервер?) |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 10:36 Заголовок сообщения: |
|
|
Работает связка - apache 1.3.27 + mod_charset
php 4.3.3 ( в виде модуля к apache с поддержкой midgard,mysql,
mnogosearch,zlib)
midgard 1.5.0
mysql 4.0.13
mnogosearch 3.2.14 ( с поддержкой mysql )
zlib 1.1.4
postfix 2.0.11
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 10:38 Заголовок сообщения: |
|
|
Ну, куда же ты делся? 
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 10:44 Заголовок сообщения: |
|
|
Какого типа атака по твоему совершается?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 10:48 Заголовок сообщения: |
|
|
| dio писал(а): | | о каком окне ты говоришь? Сокет? MTU? |
вот поэтому я и не хотел давать короткий ответ, а рекомендовал читать...
окно приема TCP.. в двух словах так:
в протоколе TCP есть понятие окна приема. окно определяет количество байт, которое может быть послано, и те байты, которые подтверждены:
это отправлено это нет
|1 2 3 | 4 5 6 7 8 9 0
как только другая сторона подтвердит N байт - окно сдвигается вправо на количество подтвержденных байт. т .е в окно всегда входят: данные отправленные но не подтвержденные и, если размер окна позволяет, - данные готовые к отправке. если размер окна нулевой - возникают вышеуказанные траблы с падением стека TCP |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 11:00 Заголовок сообщения: |
|
|
не понял....сегмент знаю, дейтаграмма, пакет, кадр....ВАС ИЗ ДАС ОКНО???
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 11:02 Заголовок сообщения: |
|
|
| dio писал(а): | | Какого типа атака по твоему совершается? |
ну если на том конце TCP не получает подтверждений на все посланные запросы и как следствие - шлет их заново... то видимо DoS
правда атака или нет - можно решить по частоте появления ошибки и поведению сервера... правда если вы говорите, что он ведет себя нехорошо... :) а кому принадлежит адрес 80.92.200.53?? |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 11:03 Заголовок сообщения: |
|
|
Ну да Бог с ним - все знать нельзя...но если ты так много знаешь - скажи, какого типа атака и как с ней бороться?? Ответь и поясни главное - ликбез для себя я организую сам.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 11:10 Заголовок сообщения: |
|
|
| dio писал(а): | | не понял....сегмент знаю, дейтаграмма, пакет, кадр....ВАС ИЗ ДАС ОКНО??? |
вы серьезно расчитываете на то, что я сейчас буду заниматься ликбезом? извините, но времени на набор пространных текстов маловато. ссылки я вам привел, заниматься ctrl+C, ctrl+V считаю глупым. |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 11:12 Заголовок сообщения: |
|
|
| dio писал(а): | | какого типа атака и как с ней бороться?? |
как бороться... думаю попробовать отсечь файером этот самый злополучный адрес и глянуть, что будет. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 11:15 Заголовок сообщения: |
|
|
80.92.200.53
name = px-ls-2.ipdbv.ru
Мне это НИЧЕГО не говорит, а тебе??
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 11:15 Заголовок сообщения: |
|
|
| сходите на www.securityfocus.com и там дайте поиск по сайту. эта ошибка была в их раасылках, но кроме того что я сказал, были и другие причины |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 11:24 Заголовок сообщения: |
|
|
Да...что - то есть об окнах, но это русская интерпритация слова "буфер", а??
Спасибо за книгу и за советы. Буду пытаться, но если дело не в этом - обязательно возникну снова!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 11:26 Заголовок сообщения: |
|
|
| dio писал(а): | Да...что - то есть об окнах, но это русская интерпритация слова "буфер", а?? :P
Спасибо за книгу и за советы. Буду пытаться, но если дело не в этом - обязательно возникну снова! :twisted: |
ЭТО НЕ БУФЕР! блинн... ладно... если что - пишите. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 11:35 Заголовок сообщения: |
|
|
Все равно спасибо....но я НЕ НАШЕЛ в RFC подобного термина...
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Янв 27 2005 11:50 Заголовок сообщения: |
|
|
RFC1180 [T. Socolofsky, C. Kale] раздел 7 - определение в последнем абзаце.
RFC3390 [M. Allman, S. Floyd, C. Partridge] - увеличение размера окна
и т. д., и т. п. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 27 2005 12:23 Заголовок сообщения: |
|
|
забил....интеллектом....пытаюсь устранить причину - спасибо за объемный список. По поводу ip - уже связался с "Р".
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
