sslug-teknik team mailing list archive

[Mogens Valentin <monz@xxxxxxxxx>]

Kristian Vilmann wrote:
> 
> Så er den gal!
> 
> Jeg har to maskiner, hvoraf mindst den ene er forbandet ustabil. Jeg har
> længe haft fornemmelsen af et netværksproblem, men først idag har jeg
> fået noget at gå efter.
> 
> Den ene maskine gik ned lidt over midnat. En af de lokale
> administratorer har været fiks nok til at lave en fil med output fra
> netstat -a med jævne mellemrum.
> 
> Og lige omkring nedbrudstidspunktet dukker denne linie fra netstat op:
> 
> tcp 0 99280 rhas-2:25014 snc2:25012 ESTABLISHED
> 
> Send Que på 99280 bytes!
> 
> Hvem har set dette før? Kan det være derfor maskinen dør?
> Hvordan skal jeg søge videre?

Ku' være det på snc2 virker som DoS på en sårbar service?
Hvilke OS? De to hosts er på privat net, ikk'?

Kan du fremprovokere det igen? Jeg mener, Hvis de to porte er de rigtige
porte for services, ikke lokal kerne/firewall port-translatering stuff,
så er det vel til at finde ud af hvad/hvem er involveret.

Hvis det er noget localrange, kan det måske stadig lade sig gøre at
finde ud af hvilke service der kommunikerer, men du har jo nok ikke
noget historik på netværksdata, det er vel noget med at være forberedt
og hurtig når situationen er der.

Hvis du har en tilstrækkelig god ide om hvilken host der forårsager det,
kan du jo sætte logning (tcpdump ethereal mv..) op for de{n,m}, og
begrænse logmængden ved at kigge udelukkende på TCP, ESTABLISHED, kun
trafik over en vis størrelse, eller kun trafik den ene vej (hvor SndQue
er fra). SWIM?

-- 
Kind regards,
Mogens Valentin
Networking, Security
www.danbbs.dk/~monz
Phone +45 32 525 878