abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 12:33 | Zajímavý projekt

Kernel.org představil lore.kernel.org, tj. archiv diskusního listu vývojářů linuxového jádra LKML (Linux Kernel Mailing List) s řadou zajímavých funkcí. Archiv běží na softwaru Public Inbox.

Ladislav Hagara | Komentářů: 1
včera 10:55 | Nová verze

Po devíti měsících vývoje od vydání verze 10.0 byla vydána verze 11.0 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 1
22.6. 20:44 | Nová verze

Po více než 3 měsících vývoje od vydání verze 238 oznámil Lennart Poettering vydání verze 239 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 11
22.6. 15:00 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.28 a beta verze 1.29 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání. Atom 1.28 je postaven na Electronu 2.0.

Ladislav Hagara | Komentářů: 1
22.6. 14:00 | Nová verze

Byla vydána nová verze 2.3.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy na PIXLS.US.

Ladislav Hagara | Komentářů: 0
22.6. 13:00 | Komunita

Akční RPG hra Shadowrun Returns Deluxe, kterou lze hrát i na Linuxu je nyní zdarma na Humble Bundle. Hra vyšla díky kampani na Kickstarteru v roce 2013.

tajny_007 | Komentářů: 0
22.6. 01:00 | Nová verze

Byla vydána verze 1.27 programovacího jazyka Rust (Wikipedie). Z novinek je nutno zmínit podporu SIMD (Single Instruction Multiple Data). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 7
21.6. 16:22 | IT novinky

CEO Intelu Brian Krzanich rezignoval (tisková zpráva). Oficiálním důvodem je "vztah na pracovišti". S okamžitou platností se dočasným CEO stal Robert Swan.

Ladislav Hagara | Komentářů: 41
21.6. 14:11 | Komunita

Konsorcium Linux Foundation ve spolupráci s kariérním portálem Dice.com zveřejnilo 2018 Open Source Jobs Report. Poptávka po odbornících na open source neustále roste.

Ladislav Hagara | Komentářů: 1
21.6. 12:44 | Zajímavý článek

Na stránkách linuxové distribuce Ubuntu Studio byla publikována příručka Ubuntu Studio Audio Handbook věnována vytváření, nahrávaní a úpravě zvuků a hudby nejenom v Ubuntu Studiu. Jedná se o živý dokument editovatelný na jejich wiki.

Ladislav Hagara | Komentářů: 0
Jak čtete delší texty z webových stránek?
 (77%)
 (22%)
 (4%)
 (7%)
 (2%)
 (10%)
Celkem 248 hlasů
 Komentářů: 39, poslední 21.6. 17:44
    Rozcestník

    Dotaz: Diagnostika priciny dst cache overflow

    19.2.2013 15:48 student
    Diagnostika priciny dst cache overflow
    Přečteno: 307×

    Nazdar - neviete prosim, ako zistit presnu pricinu takychto hlasok? Tusim nejaky utok, ale viac neviem:

    [5805319.745570] net_ratelimit: 1252 callbacks suppressed

    [5805319.745572] dst cache overflow

     

    Raz za cas mi vyskocia, traffic k serveru sa zdvihne tak na 2-5 minut na cca 10 nasobok (z ~20Mbps na ~200Mbps; opacny smer sa nemeni), load mi stupne z 2-3 na okolo 25 a zacne to pisat toto pomerne dost rychlo (a velakrat). Vsetko, bohuzial, logovat nemozem, lebo aj pri beznom trafficu je to vela dat a problem sa vyskytuje len naozaj sporadicky (ale aj tak mna stve). Pocas tohoto sa naviac obycajne ani nemozem pripojit k serveru, aby som presne zistil, o co ide.

    Mate nejaky tip, ako to diagnostikovat a pripadne riesit? Idealne by bolo, aby to same naplno nevytazilo stroj (tj nieco ako regexp na kazdy paket nie je dobre riesenie)

    Iptables mam, loguju a dropuju velke mnozstvo connection z 1 IP (-m connlimit) na moje sluzby / otvorene porty, neobycajne pakety a pod, ale tu nic take nezachytili.

    Odpovědi

    19.2.2013 18:03 NN
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Muzes poslat konifguraci firewallu vecetne uprav /proc/ a routovaci tabulku..
    19.2.2013 18:56 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

     

    Kernel IP routing table

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         94.229.35.129   0.0.0.0         UG    100    0        0 eth0
    94.229.35.128   0.0.0.0         255.255.255.224 U     0      0        0 eth0

     

    IPtables:

    iptables -F
    iptables -X
    iptables -I INPUT -i lo -j ACCEPT

    #drop spoofed packets from private subnets
    iptables -A INPUT -i eth0 --src 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth0 --src 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth0 --src 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth0 --src 127.0.0.0/8 -j DROP

    iptables -N logdrop
    iptables -A logdrop -m limit --limit 1/hour --limit-burst 5  -j LOG --log-prefix "Logdrop: "
    iptables -A logdrop -j DROP

    iptables -N pscanblock
    iptables -A pscanblock -m limit --limit 1/min -j LOG --log-prefix "Blocking portscan: "
    iptables -A pscanblock -m recent --set --name portscan

    #drop invalid
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

    #let it be... (when it works, then it is OK)

    iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

    #ssh
    iptables -A INPUT -p tcp -m tcp --dport 22 -s 1.2.3.4 -j ACCEPT #ja, upravene
    iptables -A INPUT -p tcp -m tcp --dport 22 -j REJECT
    ip6tables -A INPUT -p tcp -m tcp --dport 22 -j REJECT


    #block smtp
    iptables -A INPUT -p tcp -m tcp --dport 25 -j TARPIT
    ip6tables -A INPUT -p tcp -m tcp --dport 25 -j DROP


    #ntp with some exceptions
    iptables -A INPUT -p udp -m udp --dport 123 -s 195.113.144.201 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 147.231.19.43 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 193.171.23.163 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 80.50.231.226 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 83.19.137.3 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -j REJECT
    ip6tables -A INPUT -p udp -m udp --dport 123 -j REJECT


    ################ CONNLIMITS ####################################3

    iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -m limit --limit 1/hour --limit-burst 5  -j LOG  --log-prefix " Too much connections "
    iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 30 -m limit --limit 1/hour --limit-burst 5  -j LOG  --log-prefix " Too much connections "
    iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j TARPIT
    iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 30 -j TARPIT

    #block too many connections
    iptables -A INPUT -p tcp --dport 23000:30001 -m connlimit --connlimit-above 20 -j LOG --log-prefix " Too much connections "
    iptables -A INPUT -p tcp --dport 23000:30001  -m connlimit --connlimit-above 3 -j LOG --log-prefix "CONNLIMIT: " --log-level debug

    #block invalid packets
    iptables -A INPUT -p udp --dport 23000:30001 -m length --length 0:28  -m limit --limit 1/hour --limit-burst 5 -j LOG --log-prefix " Small_packets "
    iptables -A INPUT -p udp --dport 23000:30001 -m length --length 0:28 -j DROP

    #deny or log everything 60 (can be 3600 or so) seconds after portscan
    iptables -A INPUT -m recent --name portscan --rcheck --seconds 60 -j DROP # LOG --log-prefix "Pscantest: "
    iptables -A INPUT -p tcp -m recent --name portscan --remove

    iptables -A INPUT -p tcp ! --dport 80 -m state --state new -m recent --set --name NEWCONN
    iptables -A INPUT -p tcp -m recent --update --seconds 10 --hitcount 10 --rttl --name NEWCONN -j pscanblock

     

    Upravy proc (sysctl; ine upravy asi nemam):

    net.ipv4.conf.all.accept_redirects = 0
    net.ipv6.conf.all.accept_redirects = 0
    net.ipv4.conf.all.send_redirects = 0
    net.ipv4.conf.all.accept_source_route = 0
    net.ipv6.conf.all.accept_source_route = 0
    net.ipv4.tcp_timestamps = 0

    19.2.2013 19:00 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

    Este som nenapisal (aj ked to je asi jasne), ze tcp_syncookies, tj. casto pisane odporucanie mam default, teda 1.

    19.2.2013 21:58 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Zajímavější bude obsah směrovací cache. Stačí počet záznamů (ip route list cache). Především porovnat v klidu a popisované zátěži.
    20.2.2013 02:59 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Vdaka, po tej zatazi porovnam.
    19.2.2013 23:04 NN
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Metrika 100 u default route ma nejaky zvlastni duvod ? To by mohla byt pricina te druhe hlasky.

    Ta prvni hlaska bude diky rozesranemu modulu na limit spojeni diky tomu gulasi tech pravidel.

    Asi to bude chtit nak zjednodusit a sledovat, mozna si najdu zitra cas zkontrolovat vsechny ty omezovaci pravidla jestli nekde neni nejake, ktere se da "vydosovat".
    20.2.2013 02:48 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

    Metrika 100 nema ziadny dovod; je to tak "by default" (nemenil som to umyselne). Ale neviem, comu moze vadit - ved to by malo rozhodovat len pri rovnako cenenych routach, nie?

    Potom pripadne aspon na prvy pohlad - co je na tych pravidlach "gulasoidne"?

    19.2.2013 23:07 NN
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Btw. mam tcp_syncookies v default na 0 a abych priznal z hlavy nevim co to dela..
    20.2.2013 02:51 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Co som cital, tak by to malo zlepsovat chovanie pri SYN floode tak, ze prakticky zacne ignorovat SYN a domysli si ich obsah. V logu ale zavedenie SYN cookies nemam, takze pravdepodobne neslo o SYN flood.
    20.2.2013 01:22 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

    Pravděpodobně bude potřeba zvýšit hodnoty

      /proc/sys/net/ipv4/route/gc_thresh
      /proc/sys/net/ipv4/route/max_size
    

    tak, aby se celkový počet dst_entry položek udržoval kolem gc_thresh (nebo níž) a v žádném případě nedosahoval k max_size. Aktuální počet najdete v /proc/net/stats/rt_cache jako "entries" (šestnáctkově, měla by to být první hodnota na řádku, na každém stejná).

    20.2.2013 02:58 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Vdaka; momentalne som mimo utoku, takze to musim skusit asi az ked to znova nastane. Pri beznej prevadzke ako je to teraz ten pocet uplne staci (asi tak 500x viac dst_entry by muselo byt, aby som dosiahol na gc_thresh, ktory je cca 15x mensi ako max_size).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.