Мой центос дидосит маршрутизатор. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)

- - Мой центос дидосит маршрутизатор. (http://forum.oszone.net/showthread.php?t=302647)

Мой центос дидосит маршрутизатор.

Установил на виртуальную машину центос 7. Разместил его за пределами маршрутизатора, дал ему выделенный айпишник. Все это, чтобы сторонняя организация повесила на него веб сервер.

Все было хорошо, до недавнего времени. Мой центось стал посылать огромное количество пакетов на внутреннюю сетку, на наш маршрутизатор, что вызывает глюки и падение всей офисной сети.

Как мне найти програмулину, что посылает пакеты ? Как мне её отключить ? как избавиться от подобного в будущем ?

Через netstat можно глянуть ПО которое использует сетевое подключение в сторону маршрутизатора(если пакеты действительно целенаправленно летят на маршрутизатор).

netstat - тут вопросов нет.

netstat -p

Так, мне нетстат в консоли на линуксе прописать ?

Я просто его выключил и лишний раз включать не хочу, а то снова весь офис встанет. Хочу сразу же прояснить все ньюансы.

Вот прописаля нетстат, оно показало мне демона который пакеты шлет, его удаляю. А если он не удаляется или еще что ? какие могут возникнуть проблемы ?

Да, это консольная консольная команда. Подробности использования почитайте в man netstat

Зачем удалять - просто остановите его и уберите из автозапуска. Большое подозрение, что это что-то хочет обновиться,или обновить свою базу через интернет

Врядли это что-то хочет обновиться, потому что пакеты идут с бешеной скоростью и прямиком на маршрутизатор. Сейчас попытаюсь объяснить в двух словах.

У меня на центоси есть 2 интерфейса, один с выделеным айпи, это чтобы на сайт конектились и один с внутреней сеткой 10.0.0.1. Там же есть график трафика, с какого интерфейса сколько идет пакетов.

Так вот навожу на внешний интерфейс, там байты\килобайты и посути обмена нет (если не юзать инэт), а вот навожу на второй интерфейс, который 10.0.0.15, там график скачет, показывая скорость ПОСЫЛКИ пакетов и от 100мб\сек до 700-800мб\сек. Я пока там ковырялся, он послал мне 180 гигов на маршрутку примерно за 40 минут. Ну как я понял что идет ддос на маршрутку - в логах маршрутизатора так и написано "с адреса 10.0.0.15 замечена дидос атака" (практически достловно).

Блин, щас глянул что дала команда netstat -p. Очень огромная таблица, многие демоны в которой мне не ясны :( Как быть ?

Если я сюда скину тхт с netstart`ом подскажите в каком направлении думать ?

Цитата:

Цитата Ultrix

глянул что дала команда netstat -p. Очень огромная таблица, многие демоны в которой мне не ясны »

Покажи: netstat -tnlp

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:57817 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp6 0 0 ::1:25 :::* LISTEN -
tcp6 0 0 :::443 :::* LISTEN -
tcp6 0 0 :::111 :::* LISTEN -
tcp6 0 0 :::80 :::* LISTEN -
tcp6 0 0 :::34225 :::* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
tcp6 0 0 ::1:631 :::* LISTEN

Это netstat -tnlp

Только вот походу антивирусник, вчера мною установленный, как то сам походу обрубил злодея (хотя я ему не давал никаких команд и вообще думал что он не встал ибо были ошибки-таймауты во время его установки), ведь на данный момент нету никаких посыланий кучи пакетов и все ок.

Ха, рано радовался. Через минут 15 после того как написал строчку выше, началось снова, только уже не постоянно, как было до этого, а "по чучуть". Пару минутных скачков скорости передачи с внутреннего интерфейса до 300мб\сек. За оба скачка передано 19 гигов инфы.

Заметил небольшую закономерность, когда пытаюсь добавить репозиторий командой rpm -Uhv, то передача трафика внутри сети не на долго возрастает до 300мб\сек, соответственно все вешается, но вскоре приходит в норму.

В норме было не долго, только что снова началась отправка пакетов и уже не заканчивается.

Цитата:

Цитата Ultrix

Заметил небольшую закономерность, когда пытаюсь добавить репозиторий командой rpm -Uhv, то передача трафика внутри сети не на долго возрастает до 300мб\сек, соответственно все вешается, но вскоре приходит в норму. »

Смотрите настройку репозитория. Мне всё-же кажется, что это попытка обновить базы репозитория, или что-то похожее. Кто там у вас за это отвечает - yum? или ещё кто.

А что там смотреть ?

Мои знания никсов достаточно скудны, все по сайтам да по статейкам из интернетов собираю.

Ну, посмотрите что установленно (возможно надо делать от root)

Код:

rpm -qa --last

Какие сервисы запущены:

Код:

chkconfig --list

Описание пакетов, который предсиавляет конкретный сервис, например описание демона smb:

Код:

rpm -qi $(rpm -qf /etc/init.d/smb)

Код:

$ rpm -qi $(rpm -qf /etc/init.d/smb)



Name        : samba                        Relocations: (not relocatable)

Version     : 4.2.0                             Vendor: ALT Linux Team

Release     : alt1                          Build Date: Ср 01 апр 2015 20:01:44

Install date: Вс 24 май 2015 13:00:59      Build Host: shaba-sisyphus.hasher.altlinux.org

Group       : Система/Серверы   Source RPM: samba-4.2.0-alt1.src.rpm

Size        : 1742086                          License: GPLv3+ and LGPLv3+

Packager    : Alexey Shabalin (AltLinux Team) <shaba@altlinux.org>

URL         : http://www.samba.org/

Summary     : The Samba4 CIFS and AD client and server suite

Description :

Samba is the standard Windows interoperability suite of programs for Linux and Unix.

ну и смотрите - нужен-ли он вам.

На примере самбы:

какие файлы входят в пакет:

Код:

rpm -ql samba

Код:

/etc/openldap/schema/samba.schema

/etc/pam.d/samba

/etc/rc.d/init.d/nmb

/etc/rc.d/init.d/smb

/etc/samba/smbusers

/lib/systemd/system/nmb.service

/lib/systemd/system/smb.service

/usr/bin/eventlogadm

/usr/bin/smbstatus

/usr/lib64/samba/auth

/usr/lib64/samba/auth/script.so

/usr/lib64/samba/auth/unix.so

/usr/lib64/samba/auth/wbc.so

/usr/lib64/samba/vfs

/usr/lib64/samba/vfs/acl_tdb.so

/usr/lib64/samba/vfs/acl_xattr.so

/usr/lib64/samba/vfs/aio_fork.so

/usr/lib64/samba/vfs/aio_linux.so

/usr/lib64/samba/vfs/aio_posix.so

/usr/lib64/samba/vfs/aio_pthread.so

/usr/lib64/samba/vfs/audit.so

/usr/lib64/samba/vfs/btrfs.so

/usr/lib64/samba/vfs/cap.so

/usr/lib64/samba/vfs/catia.so

/usr/lib64/samba/vfs/commit.so

/usr/lib64/samba/vfs/crossrename.so

/usr/lib64/samba/vfs/default_quota.so

/usr/lib64/samba/vfs/dirsort.so

/usr/lib64/samba/vfs/expand_msdfs.so

/usr/lib64/samba/vfs/extd_audit.so

/usr/lib64/samba/vfs/fake_perms.so

/usr/lib64/samba/vfs/fileid.so

/usr/lib64/samba/vfs/fruit.so

/usr/lib64/samba/vfs/full_audit.so

/usr/lib64/samba/vfs/linux_xfs_sgid.so

/usr/lib64/samba/vfs/media_harmony.so

/usr/lib64/samba/vfs/netatalk.so

/usr/lib64/samba/vfs/preopen.so

/usr/lib64/samba/vfs/readahead.so

/usr/lib64/samba/vfs/readonly.so

/usr/lib64/samba/vfs/recycle.so

/usr/lib64/samba/vfs/scannedonly.so

/usr/lib64/samba/vfs/shadow_copy.so

/usr/lib64/samba/vfs/shadow_copy2.so

/usr/lib64/samba/vfs/smb_traffic_analyzer.so

/usr/lib64/samba/vfs/streams_depot.so

/usr/lib64/samba/vfs/streams_xattr.so

/usr/lib64/samba/vfs/syncops.so

/usr/lib64/samba/vfs/time_audit.so

/usr/lib64/samba/vfs/worm.so

/usr/lib64/samba/vfs/xattr_tdb.so

/usr/sbin/nmbd

/usr/sbin/smbd

/usr/share/doc/samba-4.2.0

/usr/share/doc/samba-4.2.0/COPYING

/usr/share/doc/samba-4.2.0/LDAP

/usr/share/doc/samba-4.2.0/LDAP/README

/usr/share/doc/samba-4.2.0/LDAP/get_next_oid

/usr/share/doc/samba-4.2.0/LDAP/ol-schema-migrate.pl

/usr/share/doc/samba-4.2.0/LDAP/samba-nds.schema

/usr/share/doc/samba-4.2.0/LDAP/samba-schema-FDS.ldif

/usr/share/doc/samba-4.2.0/LDAP/samba-schema-netscapeds5.x.README

/usr/share/doc/samba-4.2.0/LDAP/samba-schema.IBMSecureWay

/usr/share/doc/samba-4.2.0/LDAP/samba.ldif

/usr/share/doc/samba-4.2.0/LDAP/samba.schema

/usr/share/doc/samba-4.2.0/LDAP/samba.schema.at.IBM-DS

/usr/share/doc/samba-4.2.0/LDAP/samba.schema.oc.IBM-DS

/usr/share/doc/samba-4.2.0/README

/usr/share/doc/samba-4.2.0/WHATSNEW.txt

/usr/share/doc/samba-4.2.0/autofs

/usr/share/doc/samba-4.2.0/autofs/auto.smb

/usr/share/doc/samba-4.2.0/misc

/usr/share/doc/samba-4.2.0/misc/adssearch.pl

/usr/share/doc/samba-4.2.0/misc/check_multiple_LDAP_entries.pl

/usr/share/doc/samba-4.2.0/misc/cldap.pl

/usr/share/doc/samba-4.2.0/misc/extra_smbstatus

/usr/share/doc/samba-4.2.0/misc/wall.perl

/usr/share/doc/samba-4.2.0/printer-accounting

/usr/share/doc/samba-4.2.0/printer-accounting/README

/usr/share/doc/samba-4.2.0/printer-accounting/acct-all

/usr/share/doc/samba-4.2.0/printer-accounting/acct-sum

/usr/share/doc/samba-4.2.0/printer-accounting/hp5-redir

/usr/share/doc/samba-4.2.0/printer-accounting/lp-acct

/usr/share/doc/samba-4.2.0/printer-accounting/printcap

/usr/share/doc/samba-4.2.0/printing

/usr/share/doc/samba-4.2.0/printing/VampireDriversFunctions

/usr/share/doc/samba-4.2.0/printing/prtpub.c

/usr/share/doc/samba-4.2.0/printing/readme.prtpub

/usr/share/doc/samba-4.2.0/printing/smbprint.sysv

/usr/share/doc/samba/README.downgrade

/usr/share/man/man1/smbstatus.1.gz

/usr/share/man/man8/eventlogadm.8.gz

/usr/share/man/man8/nmbd.8.bz2

/usr/share/man/man8/smbd.8.bz2

/usr/share/man/man8/vfs_acl_tdb.8.gz

/usr/share/man/man8/vfs_acl_xattr.8.gz

/usr/share/man/man8/vfs_aio_fork.8.gz

/usr/share/man/man8/vfs_aio_linux.8.gz

/usr/share/man/man8/vfs_aio_pthread.8.gz

/usr/share/man/man8/vfs_audit.8.gz

/usr/share/man/man8/vfs_btrfs.8.gz

/usr/share/man/man8/vfs_cacheprime.8.gz

/usr/share/man/man8/vfs_cap.8.gz

/usr/share/man/man8/vfs_catia.8.gz

/usr/share/man/man8/vfs_commit.8.gz

/usr/share/man/man8/vfs_crossrename.8.gz

/usr/share/man/man8/vfs_default_quota.8.gz

/usr/share/man/man8/vfs_dirsort.8.gz

/usr/share/man/man8/vfs_extd_audit.8.gz

/usr/share/man/man8/vfs_fake_perms.8.gz

/usr/share/man/man8/vfs_fileid.8.gz

/usr/share/man/man8/vfs_fruit.8.gz

/usr/share/man/man8/vfs_full_audit.8.gz

/usr/share/man/man8/vfs_gpfs.8.gz

/usr/share/man/man8/vfs_linux_xfs_sgid.8.gz

/usr/share/man/man8/vfs_media_harmony.8.gz

/usr/share/man/man8/vfs_netatalk.8.gz

/usr/share/man/man8/vfs_notify_fam.8.gz

/usr/share/man/man8/vfs_prealloc.8.gz

/usr/share/man/man8/vfs_preopen.8.gz

/usr/share/man/man8/vfs_readahead.8.gz

/usr/share/man/man8/vfs_readonly.8.gz

/usr/share/man/man8/vfs_recycle.8.gz

/usr/share/man/man8/vfs_scannedonly.8.gz

/usr/share/man/man8/vfs_shadow_copy.8.gz

/usr/share/man/man8/vfs_shadow_copy2.8.gz

/usr/share/man/man8/vfs_smb_traffic_analyzer.8.gz

/usr/share/man/man8/vfs_snapper.8.gz

/usr/share/man/man8/vfs_streams_depot.8.gz

/usr/share/man/man8/vfs_streams_xattr.8.gz

/usr/share/man/man8/vfs_syncops.8.gz

/usr/share/man/man8/vfs_time_audit.8.gz

/usr/share/man/man8/vfs_tsmsm.8.gz

/usr/share/man/man8/vfs_worm.8.gz

/usr/share/man/man8/vfs_xattr_tdb.8.gz

/var/spool/samba

Смотрим что лежит в /usr/share/doc/samba-4.2.0/, какие маны в /usr/share/man/man1/, ну и например, если мне нужно описание, как настраивть демон самбы, читаю

Код:

man smbd

man nmbd

Цитата:

Цитата Ultrix

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:57817 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN - »

Странно, но нет никакой сетевой активности, что показывает: tcpdump -i ethX, где Х номер сетевой.

Цитата:

Цитата Ultrix

Это netstat -tnlp »

Попробуй: netstat -naptu

Попробуйте еще iftop.

Цитата:

Цитата zai

Странно, но нет никакой сетевой активности »

Так, может, он вообще бродкаст усиленно рассылает.

Вы лучше выдайте список работающих демонов - уже по этому можно догадаться. Ну ещё логи на самом компе смотрите - что в это время делается.

Цитата:

Цитата ruslandh

Вы лучше выдайте список работающих демонов - уже по этому можно догадаться »

Ultrix, попробуй: ps -aux | grep daemon

В названии демона обычно нет слова daemon. Проще посмотреть выдачу того, что запускается при включения компа через chkcinfig --list.
Правда еть вероятность, что что-то потом было руками запущено, и не выдаётся через chkconfig.

chkconfig --list

chkconfig --list

dehxbsoqev 0: off 1 : on 2: on 3: on 4: on 5: on 6: off
iprdump 0: off 1: off 2 : on 3: on 4: on 5: on 6: off
iprinit 0: off 1: off 2: on 3: on 4: on 5: on 6: off
iprupdate 0: off 1: off 2: on 3: on 4: on 5: on 6: off
netconsole 0: off 1: off 2: off 3: off 4: off 5: off 6: off
network 0: off 1: off 2: on 3: on 4: on 5: on 6: off

Цитата:

Цитата zai

ps -aux | grep daemon »

root 731 0.0 0.0 16748 996 ? SNs 07:53 0:00 /usr/sbin/alsactl -s -n 19 -c -E ALSA_CONFIG_PATH=/etc/alsa/alsactl.conf --initfile=/lib/alsa/init/00main rdaemon
avahi 753 0.0 0.0 30152 1728 ? Ss 07:53 0:00 avahi-daemon: running [linux.local]
root 758 0.0 0.1 453660 8860 ? Ssl 07:53 0:00 /usr/sbin/NetworkManager --no-daemon
root 772 0.0 0.0 370780 3560 ? Ssl 07:53 0:00 /usr/libexec/accounts-daemon
rtkit 773 0.0 0.0 164620 1268 ? SNsl 07:53 0:00 /usr/libexec/rtkit-daemon
dbus 775 0.1 0.0 37848 2808 ? Ssl 07:53 0:00 /bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
root 791 0.0 0.0 6484 336 ? Ss 07:53 0:00 /sbin/iprupdate --daemon
root 792 0.0 0.0 6484 336 ? Ss 07:53 0:00 /sbin/iprinit --daemon
root 815 0.0 0.0 39124 92 ? Ss 07:53 0:00 /sbin/iprdump --daemon
avahi 839 0.0 0.0 30028 448 ? S 07:53 0:00 avahi-daemon: chroot helper
ultrix 3040 0.1 0.0 38056 1976 ? Ssl 07:55 0:00 /bin/dbus-daemon --fork --print-pid 4 --print-address 6 --session
ultrix 3122 0.0 0.0 378140 3568 ? Sl 07:55 0:00 /usr/libexec/imsettings-daemon
ultrix 3489 0.0 0.0 36704 1560 ? Sl 07:56 0:00 /bin/dbus-daemon --config-file=/etc/at-spi2/accessibility.conf --nofork --print-address 3
root 4853 0.0 0.0 112644 960 pts/1 S+ 08:01 0:00 grep --color=auto daemon

[root@localhost ult

Цитата:

Цитата zai

netstat -naptu »

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2506/master
tcp 0 0 0.0.0.0:55261 0.0.0.0:* LISTEN 1746/rpc.statd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2441/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1389/rpcbind
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1577/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 3328/cupsd
tcp 0 0 10.0.0.15:53579 37.98.242.158:443 ESTABLISHED 4041/firefox
tcp 0 0 10.0.0.15:38742 103.240.141.54:3505 ESTABLISHED 779/ps -ef
tcp 0 0 10.0.0.15:53485 173.194.71.132:443 TIME_WAIT -
tcp 1 87 10.0.0.15:34258 212.188.32.162:443 CLOSING -
tcp 0 0 10.0.0.15:54800 37.98.242.155:443 ESTABLISHED 4041/firefox
tcp 0 0 10.0.0.15:51804 37.98.242.185:443 ESTABLISHED 4041/firefox
tcp6 0 0 ::1:25 :::* LISTEN 2506/master
tcp6 0 0 :::443 :::* LISTEN 1275/httpd
tcp6 0 0 :::36741 :::* LISTEN 1746/rpc.statd
tcp6 0 0 :::111 :::* LISTEN 1389/rpcbind
tcp6 0 0 :::80 :::* LISTEN 1275/httpd
tcp6 0 0 :::22 :::* LISTEN 1577/sshd
tcp6 0 0 ::1:631 :::* LISTEN 3328/cupsd
udp 0 0 10.0.0.15:39629 212.49.103.2:53 ESTABLISHED 4041/firefox
udp 0 0 0.0.0.0:39715 0.0.0.0:* 1746/rpc.statd
udp 0 0 0.0.0.0:48153 0.0.0.0:* 753/avahi-daemon: r
udp 0 0 0.0.0.0:68 0.0.0.0:* 959/dhclient
udp 0 0 0.0.0.0:111 0.0.0.0:* 1389/rpcbind
udp 0 0 0.0.0.0:123 0.0.0.0:* 778/chronyd
udp 0 0 127.0.0.1:323 0.0.0.0:* 778/chronyd
udp 0 0 10.0.0.15:45436 212.49.118.2:53 ESTABLISHED 4041/firefox
udp 0 0 127.0.0.1:659 0.0.0.0:* 1746/rpc.statd
udp 0 0 0.0.0.0:1000 0.0.0.0:* 1389/rpcbind
udp 0 0 0.0.0.0:5353 0.0.0.0:* 753/avahi-daemon: r
udp 0 0 0.0.0.0:38291 0.0.0.0:* 959/dhclient
udp6 0 0 :::43353 :::* 1746/rpc.statd
udp6 0 0 :::111 :::* 1389/rpcbind
udp6 0 0 :::123 :::* 778/chronyd
udp6 0 0 ::1:323 :::* 778/chronyd
udp6 0 0 :::1000 :::* 1389/rpcbind
udp6 0 0 :::42105 :::* 959/dhclient

Цитата:

Цитата zai

tcpdump -i ethX, где Х номер сетевой. »

08:11:13.155247 IP zaharov.termeko.local.54181 > 239.255.255.253.6005: UDP, length 56
08:11:13.155533 IP localhost.localdomain.42975 > server.termeko.local.domain: 8737+ PTR? 253.255.255.239.in-addr.arpa. (46)
08:11:13.155736 IP server.termeko.local.domain > localhost.localdomain.42975: 8737 ServFail- 0/0/0 (46)
08:11:13.155802 IP localhost.localdomain.47947 > resolver1.mirasystem.net.domain: 8737+ PTR? 253.255.255.239.in-addr.arpa. (46)
08:11:13.314365 IP resolver1.mirasystem.net.domain > localhost.localdomain.47947: 8737 NXDomain 0/1/0 (103)
08:11:13.353967 IP newcomer1.termeko.local.51150 > 239.255.255.250.ssdp: UDP, length 97
08:11:13.359804 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:13.416963 IP newcomer1.termeko.local.51150 > 239.255.255.250.ssdp: UDP, length 129
08:11:13.463394 ARP, Request who-has 10.0.0.74 tell zaharov.termeko.local, length 46
08:11:13.505823 IPX 00000000.00:c0:ee:9d:74:9f.63e2 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:13.655575 IP zaharov.termeko.local.54182 > 239.255.255.253.6005: UDP, length 56
08:11:13.660402 ARP, Request who-has server.termeko.local tell boguslavskiy-main.termeko.local, length 46
08:11:13.664485 ARP, Request who-has 10.0.0.254 tell boguslavskiy-main.termeko.local, length 46
08:11:14.063315 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:7c.5058 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:14.161785 IP 103.240.141.54.ccmcomm > localhost.localdomain.38789: Flags [.], seq 28:29, ack 301, win 65235, length 1
08:11:14.161808 IP localhost.localdomain.38789 > 103.240.141.54.ccmcomm: Flags [.], ack 29, win 115, options [nop,nop,TS val 752582 ecr 17616978,nop,nop,sack 1 {28:29}], length 0
08:11:14.198072 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 8000.ec:cd:6d:58:0b:0b.8090, length 43
08:11:14.358226 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:14.405644 IP zaharov.termeko.local.54183 > 239.255.255.253.6005: UDP, length 56
08:11:14.405658 IP6 fe80::e9fd:8cc3:5327:fcdd.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
08:11:14.463423 ARP, Request who-has 10.0.0.74 tell zaharov.termeko.local, length 46
08:11:14.495712 IPX 00000000.00:c0:ee:9d:74:9f.63e2 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:14.586608 IP6 fe80::e191:7951:df2f:5b7c.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
08:11:14.837510 IP boguslavskiy-main.termeko.local.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from e0:cb:4e:8b:76:9a (oui Unknown), length 300
08:11:14.839867 IP boguslavskiy-main.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:14.861165 ARP, Request who-has 212.49.124.122 (Broadcast) tell 10.0.0.254, length 46
08:11:14.925755 ARP, Request who-has 10.0.0.251 tell 10.0.0.96, length 46
08:11:15.053191 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:7c.5058 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:15.236651 ARP, Request who-has 10.0.0.70 tell mag888.termeko.local, length 46
08:11:15.270253 IP newcomer1.termeko.local.56387 > 255.255.255.255.sentinelsrm: UDP, length 40
08:11:15.320983 ARP, Request who-has 10.0.0.251 tell makhneva.termeko.local, length 46
08:11:15.342754 ARP, Request who-has 10.0.0.251 tell kopylovapc.termeko.local, length 46
08:11:15.405621 IP zaharov.termeko.local.54184 > 239.255.255.253.6005: UDP, length 56
08:11:15.485727 IPX 00000000.00:c0:ee:9d:74:9f.63e2 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:15.567482 IP genplanist.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:15.567734 ARP, Request who-has server.termeko.local tell genplanist.termeko.local, length 46
08:11:15.593629 IP boguslavskiy-main.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:15.707278 IP newcomer1.termeko.local.51150 > 239.255.255.250.ssdp: UDP, length 97
08:11:15.810093 IP server1c.termeko.local.netbios-dgm > 10.0.0.255.netbios-dgm: NBT UDP PACKET(138)
08:11:15.925528 ARP, Request who-has 10.0.0.251 tell 10.0.0.96, length 46
08:11:16.022971 ARP, Request who-has 10.0.0.251 tell makhneva.termeko.local, length 46
08:11:16.043241 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:7c.5058 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:16.102599 ARP, Request who-has 10.0.0.70 tell mag888.termeko.local, length 46
08:11:16.106254 ARP, Request who-has 10.0.0.251 tell kopylovapc.termeko.local, length 46
08:11:16.190123 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 8000.ec:cd:6d:58:0b:0b.8090, length 43
08:11:16.309873 ARP, Request who-has 10.0.0.7 tell server.termeko.local, length 92
08:11:16.358098 IP boguslavskiy-main.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:16.475764 IPX 00000000.00:c0:ee:9d:74:9f.63e2 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:16.729425 AT 65280.130.zip > 0.zip: at-#6 25
08:11:16.905804 IP zaharov.termeko.local.54185 > 239.255.255.253.6005: UDP, length 62
08:11:16.925520 ARP, Request who-has 10.0.0.251 tell 10.0.0.96, length 46
08:11:17.021304 ARP, Request who-has 10.0.0.251 tell makhneva.termeko.local, length 46
08:11:17.033176 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:7c.5058 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:17.041155 AT 65280.132.zip > 0.zip: at-#6 25
08:11:17.083707 AT 65280.129.zip > 0.zip: at-#6 25
08:11:17.102663 ARP, Request who-has 10.0.0.70 tell mag888.termeko.local, length 46
08:11:17.104667 ARP, Request who-has 10.0.0.251 tell kopylovapc.termeko.local, length 46
08:11:17.291706 IP 10.0.0.55.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:17.315828 ARP, Request who-has 10.0.0.18 tell koshkarova.termeko.local, length 46
08:11:17.405729 IP zaharov.termeko.local.54186 > 239.255.255.253.6005: UDP, length 62
08:11:17.465894 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e3 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:17.644321 ARP, Request who-has 10.0.0.17 tell acc-007.termeko.local, length 46
08:11:17.644335 ARP, Request who-has 10.0.0.86 tell acc-007.termeko.local, length 46
08:11:18.046494 IP 10.0.0.55.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:18.095529 ARP, Request who-has 10.0.0.18 tell koshkarova.termeko.local, length 46
08:11:18.155757 IP zaharov.termeko.local.54187 > 239.255.255.253.6005: UDP, length 62
08:11:18.182141 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 8000.ec:cd:6d:58:0b:0b.8090, length 43
08:11:18.352804 ARP, Request who-has 10.0.0.251 tell kopylovapc.termeko.local, length 46
08:11:18.455796 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e3 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:18.678725 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:18.707449 IP newcomer1.termeko.local.51150 > 239.255.255.250.ssdp: UDP, length 97
08:11:18.714323 IP boguslavskiy-main.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:18.810772 IP 10.0.0.55.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:19.071599 ARP, Request who-has 212.49.124.122 (Broadcast) tell 10.0.0.254, length 46
08:11:19.093941 ARP, Request who-has 10.0.0.18 tell koshkarova.termeko.local, length 46
08:11:19.101478 ARP, Request who-has 10.0.0.251 tell kopylovapc.termeko.local, length 46
08:11:19.155825 IP zaharov.termeko.local.54188 > 239.255.255.253.6005: UDP, length 62
08:11:19.247086 AT 65280.131.zip > 0.zip: at-#6 25
08:11:19.275444 IP newcomer1.termeko.local.56387 > 10.0.0.255.sentinelsrm: UDP, length 40
08:11:19.364990 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:19.445824 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e3 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:19.478038 IP boguslavskiy-main.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:19.583637 ARP, Request who-has ligin.termeko.local tell acc-001.termeko.local, length 46
08:11:20.099929 ARP, Request who-has 10.0.0.251 tell kopylovapc.termeko.local, length 46
08:11:20.174151 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 8000.ec:cd:6d:58:0b:0b.8090, length 43
08:11:20.242459 IP boguslavskiy-main.termeko.local.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:20.326411 ARP, Request who-has 10.0.0.18 tell koshkarova.termeko.local, length 46
08:11:20.363370 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:20.363382 ARP, Request who-has ligin.termeko.local tell acc-001.termeko.local, length 46
08:11:20.429846 IP 10.0.0.55.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:20.435822 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e3 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:20.570878 AT 65280.128.zip > 0.zip: at-#6 25
08:11:20.655893 IP zaharov.termeko.local.54189 > 239.255.255.253.6005: UDP, length 62
08:11:21.090709 ARP, Request who-has 10.0.0.18 tell koshkarova.termeko.local, length 46
08:11:21.157816 AT 65280.129.zip > 0.zip: at-#6 25
08:11:21.181953 IP 10.0.0.55.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:21.361726 ARP, Request who-has ligin.termeko.local tell acc-001.termeko.local, length 46
08:11:21.426000 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e4 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:21.487504 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:21.946486 IP 10.0.0.55.netbios-ns > 10.0.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
08:11:22.091661 ARP, Request who-has 10.0.0.18 tell koshkarova.termeko.local, length 46
08:11:22.166162 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 8000.ec:cd:6d:58:0b:0b.8090, length 43
08:11:22.360201 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:22.415895 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e4 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:22.948907 ARP, Request who-has 10.0.0.74 tell zaharov.termeko.local, length 46
08:11:22.987722 IP localhost.localdomain.42568 > 217.69.136.175.http: Flags [.], ack 1387, win 156, options [nop,nop,TS val 761408 ecr 2223172925], length 0
08:11:23.019978 IP 217.69.136.175.http > localhost.localdomain.42568: Flags [.], ack 1305, win 5592, options [nop,nop,TS val 2223182973 ecr 741353], length 0
08:11:23.030824 ARP, Request who-has 10.0.0.251 tell ultrix-pc.termeko.local, length 46
08:11:23.348573 ARP, Request who-has 212.49.124.122 (Broadcast) tell 10.0.0.254, length 46
08:11:23.358503 ARP, Request who-has 10.0.0.18 tell acc-001.termeko.local, length 46
08:11:23.405905 (NOV-ETHII) IPX 00000000.00:c0:ee:9d:74:9f.63e4 > 00000000.ff:ff:ff:ff:ff:ff.0453: ipx-rip-req ffffffff/0.0
08:11:23.462849 ARP, Request who-has 10.0.0.74 tell zaharov.termeko.local, length 46
08:11:23.718661 ARP, Request who-has 10.0.0.251 tell ultrix-pc.termeko.local, length 46
08:11:24.158161 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 8000.ec:cd:6d:58:0b:0b.8090, length 43

Что-нибудь ясно из вышеперечилсенного ? Может быть еще какие конфиги показать ?

Как я сам понимаю сетевуха бродкастит всё что её доступно внутри сети (вверху отрезок из консоли который успел скопировать)

Наблюдаю такую же странность как и вчера утром. Скорость отправки пакетов падает скачет, но не так круто как вчера. Сейчас дошло до потолка в 17мб\сек, что совершенно не мешает работе, хотя вчера стабильно отсылалось со скоростью 250-300мб\сек

Попробуй: /etc/init.d/avahi-daemon stop

Цитата:

Цитата zai

/etc/init.d/avahi-daemon stop »

Неверный файл или директория.

Цитата:

Цитата zai

Попробуй: /etc/init.d/avahi-daemon stop »

service avahi-daemon stop

Цитата:

Цитата User001

service avahi-daemon stop »

Предупреждение, сервис авахи останавливается, но он может быть активирован by avahi-daemon socket

И кстати посылка пакетов продолжается, видимо это не помогло, либо сразу же после остановки он снова запускается.

Перед тем как начать досить внутреннюю сетку, я заметил, что идет закачка небольшого объема информации, метров 20 и сразу после неё начинается отпавка пакетов со скоростью до 250-300мб\сек

Цитата:

Цитата Ultrix

Предупреждение, сервис авахи останавливается, но он может быть активирован by avahi-daemon socket »

Насчет мониторинга - посмотрите в сторону iftop и nethogs, т.к. гадать с сервисами долго будете.
Результаты tcpdump можете сохранить в pcap и смотреть, например, в Wireshark или дать желающим разбираться с вашим трафиком.

Цитата:

Цитата Ultrix

Все это, чтобы сторонняя организация повесила на него веб сервер. »

Цитата:

Цитата Ultrix

Перед тем как начать досить внутреннюю сетку, я заметил, что идет закачка небольшого объема информации, метров 20 и сразу после неё начинается отпавка пакетов со скоростью до 250-300мб\сек »

Вам, случаем, сторонняя организация ничего лишнего повесить не могла?

q=User001]Вам, случаем, сторонняя организация ничего лишнего повесить не могла? »[/q]

Не, я не успел передать им права, сервер ждал пока они будут готовы но не дождавшись стал глючить.

Я как понял мне нужно разобраться в тех ссылках что вы мне скинули ?

Блин, только открываю сеть, чтобы установить nethoqs как сразу все падает :(

там не может быть косяка с бриджом?

Цитата:

Цитата MakaBooka

там не может быть косяка с бриджом? »

Может быть все что угодно :) как узнать только ?

Ultrix, на вид вроде проблем нет, попробуй еще: lsof -i

Цитата:

Цитата zai

lsof -i »

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
firefox 3312 ultrix 45u IPv4 2485774 0t0 TCP localhost.localdomain:59020->top-fwz1.mail.ru:http (ESTABLISHED)
firefox 3312 ultrix 46u IPv4 2486588 0t0 TCP localhost.localdomain:60254->favicon.yandex.net:http (ESTABLISHED)
firefox 3312 ultrix 57u IPv4 2486589 0t0 TCP localhost.localdomain:60255->favicon.yandex.net:http (ESTABLISHED)
firefox 3312 ultrix 58u IPv4 2486316 0t0 TCP localhost.localdomain:44953->mc.yandex.ru:https (ESTABLISHED)
firefox 3312 ultrix 61u IPv4 2486590 0t0 TCP localhost.localdomain:60256->favicon.yandex.net:http (ESTABLISHED)
firefox 3312 ultrix 62u IPv4 2486296 0t0 TCP localhost.localdomain:41821->srv97-131-240-87.vk.com:http (ESTABLISHED)
firefox 3312 ultrix 63u IPv4 2486594 0t0 TCP localhost.localdomain:35507->yyz08s10-in-f15.1e100.net:https (ESTABLISHED)
firefox 3312 ultrix 65u IPv4 2097931 0t0 TCP localhost.localdomain:58869->top-fwz1.mail.ru:http (ESTABLISHED)
firefox 3312 ultrix 66u IPv4 2486309 0t0 TCP localhost.localdomain:47993->a104-75-76-169.deploy.static.akamaitechnologies.com:http (ESTABLISHED)
firefox 3312 ultrix 68u IPv4 2097953 0t0 TCP localhost.localdomain:38149->la-in-f156.1e100.net:http (ESTABLISHED)
firefox 3312 ultrix 69u IPv4 2419066 0t0 TCP localhost.localdomain:49098->cache.google.com:http (ESTABLISHED)
firefox 3312 ultrix 70u IPv4 2097946 0t0 TCP localhost.localdomain:33070->212.188.32.160:http (ESTABLISHED)
firefox 3312 ultrix 72u IPv4 2486321 0t0 TCP localhost.localdomain:40322->srv188-181-240-87.vk.com:http (ESTABLISHED)
firefox 3312 ultrix 73u IPv4 2486322 0t0 TCP localhost.localdomain:51426->95.213.11.85:http (ESTABLISHED)
firefox 3312 ultrix 74u IPv4 2486323 0t0 TCP localhost.localdomain:59005->srv210-239-186-93.vk.com:http (ESTABLISHED)
firefox 3312 ultrix 75u IPv4 2486324 0t0 TCP localhost.localdomain:41787->srv189-235-186-93.vk.com:http (ESTABLISHED)
firefox 3312 ultrix 77u IPv4 2485644 0t0 TCP localhost.localdomain:40020->edge-star-shv-01-fra3.facebook.com:https (ESTABLISHED)
firefox 3312 ultrix 78u IPv4 2485645 0t0 TCP localhost.localdomain:52005->srv126-228-186-93.vk.com:http (ESTABLISHED)
firefox 3312 ultrix 79u IPv4 2485646 0t0 TCP localhost.localdomain:60901->95.213.6.223:http (ESTABLISHED)
firefox 3312 ultrix 80u IPv4 2097977 0t0 TCP localhost.localdomain:58772->la-in-f156.1e100.net:https (ESTABLISHED)
firefox 3312 ultrix 81u IPv4 2486326 0t0 TCP localhost.localdomain:58773->la-in-f156.1e100.net:https (ESTABLISHED)
firefox 3312 ultrix 84u IPv4 2485652 0t0 TCP localhost.localdomain:44568->la-in-f149.1e100.net:https (ESTABLISHED)
firefox 3312 ultrix 85u IPv4 2485649 0t0 TCP localhost.localdomain:46546->cache.google.com:http (ESTABLISHED)
firefox 3312 ultrix 86u IPv4 2097999 0t0 TCP localhost.localdomain:38408->212.188.32.160:https (ESTABLISHED)
firefox 3312 ultrix 87u IPv4 2485650 0t0 TCP localhost.localdomain:46548->cache.google.com:http (ESTABLISHED)
firefox 3312 ultrix 88u IPv4 2485653 0t0 TCP localhost.localdomain:36976->212.188.32.168:https (ESTABLISHED)
firefox 3312 ultrix 89u IPv4 2098001 0t0 TCP localhost.localdomain:36979->212.188.32.168:https (ESTABLISHED)
firefox 3312 ultrix 90u IPv4 2098005 0t0 TCP localhost.localdomain:38637->lb-in-f157.1e100.net:https (ESTABLISHED)
firefox 3312 ultrix 91u IPv4 2486368 0t0 TCP localhost.localdomain:49143->cache.google.com:http (ESTABLISHED)
firefox 3312 ultrix 95u IPv4 2486526 0t0 TCP localhost.localdomain:33641->avatars-fast.yandex.net:http (ESTABLISHED)
firefox 3312 ultrix 97u IPv4 2486527 0t0 TCP localhost.localdomain:33642->avatars-fast.yandex.net:http (ESTABLISHED)
firefox 3312 ultrix 98u IPv4 2486520 0t0 TCP localhost.localdomain:50003->lh-in-f132.1e100.net:https (ESTABLISHED)
firefox 3312 ultrix 103u IPv4 2486528 0t0 TCP localhost.localdomain:33643->avatars-fast.yandex.net:http (ESTABLISHED)
firefox 3312 ultrix 104u IPv4 2486519 0t0 TCP localhost.localdomain:53225->lb-in-f106.1e100.net:https (ESTABLISHED)

Цитата:

Цитата zai

на вид вроде проблем нет »

На данный момент посылки пакетов нету (не понятно почему). Хотя когда делал предыдущие конфиги, проблемы были.

Даже не знаю что сделать.... Самый простой способ это поставить сервак заного, но блин... я сам хочу разобраться, чтобы потом знать. Ведь переустановлю, залью сайт, всё настрою, начнет работать, пропработает скажем месяц и потом снова ченить подобное... это будет просто крах.

zai, Я могу дать тебе удаленку через пути, если конечно хочешь, поглядишь сам. Обещаю заплатить если найдешь проблему и объяснишь как в дальнейшем мне её избежать, конечно не милионы, но какуюто символическую копеечку из личного бюджета смогу выделить, так сказать за помощь и обучение.

Цитата:

Цитата User001

Насчет мониторинга - посмотрите в сторону iftop и nethogs »

[root@localhost ultrix]# yum install nethogs
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.digitalhusky.com
* extras: mirror.digitalhusky.com
* updates: mirror.digitalhusky.com
No package nethogs available.
Error: Nothing to do

Боюсь сглазить, но уже как минут 40 всё хорошо.

Как только включил машину, сделал следующее:

Попытался установить NetHogs, для чего потребовалось включить EPEL Repository. Выполнил следующие команды:

## RHEL/CentOS 7 64-Bit ##
# wget http://dl.fedoraproject.org/pub/epel...7-5.noarch.rpm
# rpm -ivh epel-release-7-5.noarch.rpm

Тут была версия что проблемы могут быть с репозиториями. Неужели решилось ? Боюсь радоваться. Уверен что не всё так просто. Жду советов, друзья.

К сожалению чуда не произошло. Вчера весь рабочий день машина была включена и никаких сбоев не происходило. Сегодня же смотрю график загруженности сети и опять тоже самое. Рассылка пакетов с огромной скоростью, только уже не постоянная, а прирывистая. Скажем минут 5 порассылает, минут 5 все нормально, потом снова рассылка.

Ребят, что делать ? представления не имею :(

Цитата:

Цитата Ultrix

Ребят, что делать ? представления не имею »

А на каком вы сейчас этапе? Что не получается?
Выявляйте процесс, который генерирует трафик. Варианты вам предложили.

Если вы не можете поставить дополнительный софт с сети - скачайте на какой-нибудь носитель, монтируйте его и ставьте с него.