sslug-teknik team mailing list archive

[Kristian Vilmann <kvi@xxxxxxxx>]

Mogens Valentin wrote:
> Kristian Vilmann wrote:
>
> > Så er den gal!
> >
> > Jeg har to maskiner, hvoraf mindst den ene er forbandet ustabil. Jeg har
> > længe haft fornemmelsen af et netværksproblem, men først idag har jeg
> > fået noget at gå efter.
> >
> > Den ene maskine gik ned lidt over midnat. En af de lokale
> > administratorer har været fiks nok til at lave en fil med output fra
> > netstat -a med jævne mellemrum.
> >
> > Og lige omkring nedbrudstidspunktet dukker denne linie fra netstat op:
> >
> > tcp 0 99280 rhas-2:25014 snc2:25012 ESTABLISHED
> >
> > Send Que på 99280 bytes!
> >
> > Hvem har set dette før? Kan det være derfor maskinen dør?
> > Hvordan skal jeg søge videre?
>
>
> Ku' være det på snc2 virker som DoS på en sårbar service?
> Hvilke OS? De to hosts er på privat net, ikk'?

Redhat Enterprise 2.1 Advanced Server på et lille lukket net.

> Kan du fremprovokere det igen? Jeg mener, Hvis de to porte er de rigtige
> porte for services, ikke lokal kerne/firewall port-translatering stuff,
> så er det vel til at finde ud af hvad/hvem er involveret.

Det skulle man tro, men det er ikke helt så let. Men det plejer at være 
til at fremprovokere - en af maskinerne går ned et par gange om ugen.

Prblemet er at det er et produktionssystem og servicevinduet er fra kl 
01 til 05..... Fandens til tidspunkt at arbejde på.

> Hvis det er noget localrange, kan det måske stadig lade sig gøre at
> finde ud af hvilke service der kommunikerer, men du har jo nok ikke
> noget historik på netværksdata, det er vel noget med at være forberedt
> og hurtig når situationen er der.

Alene det er der en del udfordring i. Nedbrudene sker gerne om natten. 
Men aldrig på samme tidspunkt. Og i øvrigt står maskinerne bag et hav af 
firewall's og VPN-forbindelser. I den fysiske verden kræver det en del 
koordination at komme ind til dem.
Det er ikke lige til at få adgang til.

> Hvis du har en tilstrækkelig god ide om hvilken host der forårsager det,
> kan du jo sætte logning (tcpdump ethereal mv..) op for de{n,m}, og
> begrænse logmængden ved at kigge udelukkende på TCP, ESTABLISHED, kun
> trafik over en vis størrelse, eller kun trafik den ene vej (hvor SndQue
> er fra). SWIM?

SWIM?  Hvad er det?

Men ja, noget tcpdump-log må være vejen frem.

/k