abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Ubuntu 26.04 LTS bude Resolute Raccoon
    včera 23:55 | Komunita

    Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

    Ladislav Hagara | Komentářů: 0
    Netwide Assembler (NASM) 3.00
    včera 21:00 | Nová verze

    Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Frugalware Linux ke konci roku 2025 oficiálně končí
    včera 20:11 | Komunita

    Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

    Ladislav Hagara | Komentářů: 0
    GIMP 3.0.6
    včera 17:22 | Nová verze

    Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    AMD uzavřela smlouvu o dodávkách čipů pro OpenAI
    včera 16:11 | IT novinky

    Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

    Ladislav Hagara | Komentářů: 1
    OpenSSH 10.1
    včera 12:22 | Nová verze

    Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantovou výměnu klíčů.

    Ladislav Hagara | Komentářů: 0
    Videozáznamy z LinuxDays 2025
    5.10. 20:00 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

    Ladislav Hagara | Komentářů: 0
    Turris Omnia NG
    4.10. 15:22 | IT novinky

    Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

    Ladislav Hagara | Komentářů: 34
    Přímý přenos z LinuxDays 2025
    4.10. 05:22 | Komunita

    Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

    Ladislav Hagara | Komentářů: 16
    Soud zrušil rekordní pokutu pro Avast
    3.10. 22:44 | IT novinky

    V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

    … více »
    Ladislav Hagara | Komentářů: 10
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (45%)
     (15%)
     (17%)
     (22%)
     (15%)
     (18%)
     (16%)
     (15%)
    Celkem 181 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Diagnostika priciny dst cache overflow
    Štítky: cache, firewally, IDE, iptables, Mate, problém, regexp, traffic

    Dotaz: Diagnostika priciny dst cache overflow

    19.2.2013 15:48 student
    Diagnostika priciny dst cache overflow
    Přečteno: 389×

    Nazdar - neviete prosim, ako zistit presnu pricinu takychto hlasok? Tusim nejaky utok, ale viac neviem:

    [5805319.745570] net_ratelimit: 1252 callbacks suppressed

    [5805319.745572] dst cache overflow

     

    Raz za cas mi vyskocia, traffic k serveru sa zdvihne tak na 2-5 minut na cca 10 nasobok (z ~20Mbps na ~200Mbps; opacny smer sa nemeni), load mi stupne z 2-3 na okolo 25 a zacne to pisat toto pomerne dost rychlo (a velakrat). Vsetko, bohuzial, logovat nemozem, lebo aj pri beznom trafficu je to vela dat a problem sa vyskytuje len naozaj sporadicky (ale aj tak mna stve). Pocas tohoto sa naviac obycajne ani nemozem pripojit k serveru, aby som presne zistil, o co ide.

    Mate nejaky tip, ako to diagnostikovat a pripadne riesit? Idealne by bolo, aby to same naplno nevytazilo stroj (tj nieco ako regexp na kazdy paket nie je dobre riesenie)

    Iptables mam, loguju a dropuju velke mnozstvo connection z 1 IP (-m connlimit) na moje sluzby / otvorene porty, neobycajne pakety a pod, ale tu nic take nezachytili.

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    19.2.2013 18:03 NN
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Muzes poslat konifguraci firewallu vecetne uprav /proc/ a routovaci tabulku..
    19.2.2013 18:56 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

     

    Kernel IP routing table

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         94.229.35.129   0.0.0.0         UG    100    0        0 eth0
    94.229.35.128   0.0.0.0         255.255.255.224 U     0      0        0 eth0

     

    IPtables: 

    iptables -F
    iptables -X
    iptables -I INPUT -i lo -j ACCEPT

    #drop spoofed packets from private subnets
    iptables -A INPUT -i eth0 --src 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth0 --src 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth0 --src 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth0 --src 127.0.0.0/8 -j DROP

    iptables -N logdrop
    iptables -A logdrop -m limit --limit 1/hour --limit-burst 5  -j LOG --log-prefix "Logdrop: "
    iptables -A logdrop -j DROP

    iptables -N pscanblock
    iptables -A pscanblock -m limit --limit 1/min -j LOG --log-prefix "Blocking portscan: "
    iptables -A pscanblock -m recent --set --name portscan

    #drop invalid
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    #let it be... (when it works, then it is OK)
    iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
    #ssh
    iptables -A INPUT -p tcp -m tcp --dport 22 -s 1.2.3.4 -j ACCEPT #ja, upravene
    iptables -A INPUT -p tcp -m tcp --dport 22 -j REJECT
    ip6tables -A INPUT -p tcp -m tcp --dport 22 -j REJECT


    #block smtp 
    iptables -A INPUT -p tcp -m tcp --dport 25 -j TARPIT
    ip6tables -A INPUT -p tcp -m tcp --dport 25 -j DROP


    #ntp with some exceptions
    iptables -A INPUT -p udp -m udp --dport 123 -s 195.113.144.201 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 147.231.19.43 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 193.171.23.163 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 80.50.231.226 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -s 83.19.137.3 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 123 -j REJECT
    ip6tables -A INPUT -p udp -m udp --dport 123 -j REJECT


    ################ CONNLIMITS ####################################3

    iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -m limit --limit 1/hour --limit-burst 5  -j LOG  --log-prefix " Too much connections "
    iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 30 -m limit --limit 1/hour --limit-burst 5  -j LOG  --log-prefix " Too much connections "
    iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j TARPIT
    iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 30 -j TARPIT
    

    #block too many connections
    iptables -A INPUT -p tcp --dport 23000:30001 -m connlimit --connlimit-above 20 -j LOG --log-prefix " Too much connections "
    iptables -A INPUT -p tcp --dport 23000:30001  -m connlimit --connlimit-above 3 -j LOG --log-prefix "CONNLIMIT: " --log-level debug

    #block invalid packets
    iptables -A INPUT -p udp --dport 23000:30001 -m length --length 0:28  -m limit --limit 1/hour --limit-burst 5 -j LOG --log-prefix " Small_packets "
    iptables -A INPUT -p udp --dport 23000:30001 -m length --length 0:28 -j DROP
    

    #deny or log everything 60 (can be 3600 or so) seconds after portscan
    iptables -A INPUT -m recent --name portscan --rcheck --seconds 60 -j DROP # LOG --log-prefix "Pscantest: "
    iptables -A INPUT -p tcp -m recent --name portscan --remove

    iptables -A INPUT -p tcp ! --dport 80 -m state --state new -m recent --set --name NEWCONN
    iptables -A INPUT -p tcp -m recent --update --seconds 10 --hitcount 10 --rttl --name NEWCONN -j pscanblock
     

    Upravy proc (sysctl; ine upravy asi nemam):

    net.ipv4.conf.all.accept_redirects = 0
    net.ipv6.conf.all.accept_redirects = 0
    net.ipv4.conf.all.send_redirects = 0
    net.ipv4.conf.all.accept_source_route = 0
    net.ipv6.conf.all.accept_source_route = 0
    net.ipv4.tcp_timestamps = 0

    19.2.2013 19:00 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

    Este som nenapisal (aj ked to je asi jasne), ze tcp_syncookies, tj. casto pisane odporucanie mam default, teda 1.

    19.2.2013 21:58 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Zajímavější bude obsah směrovací cache. Stačí počet záznamů (ip route list cache). Především porovnat v klidu a popisované zátěži.
    20.2.2013 02:59 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Vdaka, po tej zatazi porovnam.
    19.2.2013 23:04 NN
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Metrika 100 u default route ma nejaky zvlastni duvod ? To by mohla byt pricina te druhe hlasky.

    Ta prvni hlaska bude diky rozesranemu modulu na limit spojeni diky tomu gulasi tech pravidel.

    Asi to bude chtit nak zjednodusit a sledovat, mozna si najdu zitra cas zkontrolovat vsechny ty omezovaci pravidla jestli nekde neni nejake, ktere se da "vydosovat".
    20.2.2013 02:48 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

    Metrika 100 nema ziadny dovod; je to tak "by default" (nemenil som to umyselne). Ale neviem, comu moze vadit - ved to by malo rozhodovat len pri rovnako cenenych routach, nie?

    Potom pripadne aspon na prvy pohlad - co je na tych pravidlach "gulasoidne"?

    19.2.2013 23:07 NN
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Btw. mam tcp_syncookies v default na 0 a abych priznal z hlavy nevim co to dela..
    20.2.2013 02:51 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Co som cital, tak by to malo zlepsovat chovanie pri SYN floode tak, ze prakticky zacne ignorovat SYN a domysli si ich obsah. V logu ale zavedenie SYN cookies nemam, takze pravdepodobne neslo o SYN flood.
    20.2.2013 01:22 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow

    Pravděpodobně bude potřeba zvýšit hodnoty

      /proc/sys/net/ipv4/route/gc_thresh
  /proc/sys/net/ipv4/route/max_size

    tak, aby se celkový počet dst_entry položek udržoval kolem gc_thresh (nebo níž) a v žádném případě nedosahoval k max_size. Aktuální počet najdete v /proc/net/stats/rt_cache jako "entries" (šestnáctkově, měla by to být první hodnota na řádku, na každém stejná).

    20.2.2013 02:58 student
    Rozbalit Rozbalit vše Re: Diagnostika priciny dst cache overflow
    Vdaka; momentalne som mimo utoku, takze to musim skusit asi az ked to znova nastane. Pri beznej prevadzke ako je to teraz ten pocet uplne staci (asi tak 500x viac dst_entry by muselo byt, aby som dosiahol na gc_thresh, ktory je cca 15x mensi ako max_size).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.