Все соеденение забито TCP Keep-alive пакетами
evll - 15 Январь, 2012 - 21:44
Уже второй день подряд обнаруживаю под вечер, что все соединение забивается TCP Keep-alive и TCP Keep-alive ACK пакетами. См. скрин из wireshark: http://i.imgur.com/HvIlW.png (могу прикрепить и дамп нескольких пакетов, если надо)
nethogs не может определить, что за процесс - просто показывает PID = 0
Выключаю и включаю рутер - все становится нормально.
Kubuntu 10.10
Я немного в панике. Подскажите пожалуйста, что это может быть.
Есть подозрение что дело в рутере (модель если не секрет?). На машинке есть что-то требующее постоянного соединения?
Есть подозрение на кривой софт на сервере по адресу 193.219.81.76 с которым происходит общение.
Там живет какая-то неведомая зверушка HYDROGEN v.1.8.1, изваянная неким Justinas Balčiūnas в далеком 2003 году и висящая на достаточно свежем апаче ... Возможно конфликт какой-то ...
Попробуйте на этот сайт не ходить. Или с другого браузера ...
Еще гляньте сюда
Возможно что-то сбило на Вашей машине настройку таймеров TCP Keep-alive
Модель рутера - ASUS RT-N10. Постоянного соединения ничего не требует.
Да, я вижу эту неясную форму по тому адресу. Но никогда на тот сайт не захожу.
Интересное кино ... А что с таймерами TCP Keep-alive? Настройки такие как ниже?
# cat /proc/sys/net/ipv4/tcp_keepalive_time
7200
# cat /proc/sys/net/ipv4/tcp_keepalive_intvl
75
# cat /proc/sys/net/ipv4/tcp_keepalive_probes
9
Попробуйте еще
# sudo netstat -atpв момент когда начинается эта фигня. Может что-то там увидите ...
Вообще странно весьма ... Смахивает на DDoS атаку с Вашего компа на адрес 193.219.81.76
Еще внимательно надо изучить
# ps -eafМожет найдется что-то подозрительное ...
Спасибо за внимание к моей проблеме.
Настройки абсолютно такие же.
sudo netstat -atp
ps -eaf
Что искать в результате этих команд? Я вижу там какие-то подозрительные адреса, типа da2.vander-lingen.nl Но мне это ни о чем не говорит.
tcp 0 0 hell:51212 da2.vander-lingen.n:www TIME_WAIT -
Еще вижу
tcp 0 0 *:microsoft-ds *:* LISTEN 27658/smbd
При этом самба у меня не установлена. Тут все в порядке?
Еще вспомнил, что у меня ssh сервер запущен, так пока что удалил его на всякий случай.
Стоит ли менять пароль рута?
Скиньте сюда вывод этих двух команд - мы все посмотрим :) только именно тогда, когда соединение забито такими пакетами.
Хорошо бы еще и лог wireshark в это-же время.
sudo netstat -atpActive Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:41703 *:* LISTEN 31692/skype
tcp 0 0 *:mysql *:* LISTEN 9651/mysqld
tcp 0 0 *:netbios-ssn *:* LISTEN 27658/smbd
tcp 0 0 localhost.localdom:5037 *:* LISTEN 28437/adb
tcp 0 0 localhost.localdoma:ipp *:* LISTEN 1148/cupsd
tcp 0 0 *:microsoft-ds *:* LISTEN 27658/smbd
tcp 0 0 hell:37636 live.5ci.lt:www TIME_WAIT -
tcp 0 0 hell:41703 229.net-94.242.27:49197 ESTABLISHED 31692/skype
tcp 0 0 hell:51049 78.63.122.29:29630 ESTABLISHED 31692/skype
tcp6 0 0 hell:ipp [::]:* LISTEN 1148/cupsd
http://paste.ubuntu.com/813052/
В то время как...
NetHogs version 0.7.0
PID USER PROGRAM DEV SENT RECEIVED
0 root ...193:57134-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57130-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57125-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57121-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57117-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57135-192.168.1.1:80 0.158 0.129 KB/sec
0 root ...193:57131-192.168.1.1:80 0.158 0.129 KB/sec
0 root ...193:57126-192.168.1.1:80 0.158 0.129 KB/sec
0 root ...193:57122-192.168.1.1:80 0.158 0.129 KB/sec
0 root ...193:57118-192.168.1.1:80 0.158 0.129 KB/sec
0 root ...193:57136-192.168.1.1:80 0.158 0.130 KB/sec
0 root ...193:57132-192.168.1.1:80 0.158 0.130 KB/sec
0 root ...193:57127-192.168.1.1:80 0.158 0.130 KB/sec
0 root ...193:57123-192.168.1.1:80 0.158 0.130 KB/sec
0 root ...193:57119-192.168.1.1:80 0.158 0.130 KB/sec
0 root ...193:57137-192.168.1.1:80 0.156 0.108 KB/sec
0 root ...193:57133-192.168.1.1:80 0.156 0.108 KB/sec
http://rghost.net/36045042
wireshark (в этот раз другие пакеты)
Ничего крамольного лично я не вижу я в логе wireshark. Вы подключены к веб интерфейсу роутеруа и с компа постоянная свясь с ним (потому что Вы наблюдаете процессы в динамике)... А так, вроде все нормально ...
А самба у вас таки установлена... :)
И еще, если не пользуетесь - рекомендую непомук отключить. Он жрет много ресурсов и толку от него как-то незаметно ...
Я transmission на рутер не устанавливал. Может он там с самого начала был, конечно.
~$ samba
The program 'samba' is currently not installed. You can install it by typing:
sudo apt-get install samba4
PID USER PROGRAM DEV SENT RECEIVED
0 root ...193:57134-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57130-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57125-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57121-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57117-192.168.1.1:80 0.159 0.130 KB/sec
0 root ...193:57135-192.168.1.1:80 0.158 0.129 KB/sec
....
Больше всего на данный момент меня волнует это. Как я могу это остановить? Теперь постоянно появляется.
Я выше исправился - это не transmission, это сеанс связи с роутером. У Вас, видимо, открыта страница веб интерфейса роутера, где Вы наблюдаете за трафиком. Поскольку это происходит в реальном времени, идет постоянная связь с роутером. Закройте эту страницу и этого трафика не будет.
Самба это демон. Он в списках процессов у вас есть
root 27658 1 0 14:33 ? 00:00:00 smbd -FТак и есть, наблюдал за активностью рутера. Спасибо.
В общем, вы меня пока что успокоили немного. Если опять повторится ситуация с TCP Keep-alive пакетами - выложу весь аутпут заново.
Боитесь что Большой Брат следит? :) Не напрягайтесь - следов ББ wireshark-ом с локальной машины Вы не найдете :)
http://rghost.net/36053190
А вот и wireshark dump (очень сильно урезанный, далее просто повторяется тоже самое) для ситуации описанной в самом первом посте.
К сожалению, не успел сохранить вывод других команд, т.к. все быстро прекратилось на этот раз.
Интересно будет выслушать ваше мнение.
Еще одна деталь. Рутер я отключил пока что, соединение напрямую.
Я бы отресетировал роутер и настроил с нуля. Ну раз из-за него всё зло... И ряд моментов: отключить возможность управления роутером снаружи; сменить логин и пароль доступа по умолчанию.
Вы не поняли, рутер я отключил, но этот беспредел с пакетами возник уже после того.
Надо поймать момент и сделать netstat и ps ...
Иначе разобраться трудно.
А у Вас есть какие-то пересечения с этим университетом?
(Vilniaus Universitetas, ITTC, Sauletekio 9, LT-10222 Vilnius, Lithuania)
Может какая программа стоит? Или еще чего?
На данный момент никаких пересечений. Учился там, но это было очень давно, к данному компьютеру отношения не имеет.
Буду ловить момент, после выложу результаты команд. Спасибо.
На всякий случай проверьтесь на руткиты
# sudo chkrootkitchkrootkit нашел только
The following suspicious files and directories were found:
/usr/lib/jvm/.java-6-openjdk.jinfo /usr/lib/xulrunner-1.9.2.24/.autoreg /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.6/PyQt4/uic/widget-plugins/.noinit
Но думаю, это ничего не значит
to: Vlad_W_1999
Роутер здесь не при чем. Тачка сама лезет на этот адрес. Это весьма странно.
Значит, я неправильно понял. Сорри.
Значит надо искать софтинку с приветом из Вильнюса. Скорее всего она там и сделана. Надо проверить нестандартный софт на машинке.
Топикстартер утверждает что постореннего софта нет на машине.
Если интересно вывод ps -eaf есть по ссылке
Предлагаю всем глянуть, потому как если есть зараза - случай интересный ...
Кстати, я там увидел софт, работающий с андроидом
tcp 0 0 localhost.localdom:5037 *:* LISTEN 28437/adbникогда не приходилось иметь с ним дела ...
Может если андроидный девайс в это время подключен и с него какое-то гавно лезет?
Андроидный девайс - это эмулятор. Ничего постороннего на него не устанавливалось.
В общем, сижу с монитором сети в панели, как только появится - сразу отловлю вывод вышеупомянутых команд.
Еще можно попробовать если эффект появится - последовательно закрывать работающие программы и конролировать - не исчез ли этот трафик.
Но это после ps и netstat
Это я пробовал. Не помогает.
искать надо среди системных залепух которые установлены после системы и скорее всего не из репозитория. кстати если нет самбы кто работает на нетбиосе?
Самба все-таки была, извиняюсь.
Поймал все что вы просили.
http://paste.ubuntu.com/814678 - ps
http://paste.ubuntu.com/814681 - netstat
С нетерпением жду выводов.
К сожалению - нетстат не поймал...
Даже не знаю что еще можно предпринять. Возможно нетстатом несколько раз - может он словит кто это делает (то есть напротив айпишника появится программа)
Можно еще логическим путем пойти и проанализировать что делалось перед тем как появляется этот трафик.
Уж очень много у Вас запущено софта одновременно, который с сетью работает. Можно пойти от обратного. Запускать, к примеру, только получение почты десяток раз и контролировать трафик. Затем только с хромом поработать... И так далее ... Со скайпом, потом без скайпа ...
Как-то так ...
Пожалуй, я просто фаерволом заблокирую такие пакеты, и все дела.
Думаю стоит все-же попытаться выяснить кто это. Полезный опыт. И весьма подозрительная активность.
Может местные гуру что-то еще посоветуют ...
Да при поиске проблем список софта желательно сократить. из того что увидел подозрения вызывают настройки mysql из лампа(базенки вообще любят постоянные соединения) и dropbox. хотя какое отношение они имеют в вильнюсу?
Похожая проблема почитай, хотя вопросов там больше чем ответов ...
Спасибо за этот линк. Он навел меня на идею.
Посмотрел какие вообще сайты висят на том айпишнике. Оказалось на нем висит lt.php.net - локальное зеркало, на которое меня перекидывает при просмотре мануала. Полазил по нему немного - и пошли пакетики.
Так что вариантов совсем немного: 1) на пхп сайте баг 2) в ядре баг (как упоминается на ЛОРе)
Еще попробую отключить весь джяваскрип на том сайте, может поможет.
О! Уже что-то ... Чудес не бывает :) Всему есть материалистическое объяснение ...
Отправить комментарий