sslug-teknik team mailing list archive

Thread
Date

Re: netstat -a og send que

To: <sslug-teknik@xxxxxxxx>
From: "Jeppe Koefoed" <Jeppe@xxxxxxx>
Date: Mon, 6 Sep 2004 08:31:55 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

From: "Kristian Vilmann" <kvi@xxxxxxxx>
> Mogens Valentin wrote:
> > Kristian Vilmann wrote:
> >
> >>Så er den gal!
> >>
> >>Jeg har to maskiner, hvoraf mindst den ene er forbandet ustabil. Jeg har
> >>længe haft fornemmelsen af et netværksproblem, men først idag har jeg
> >>fået noget at gå efter.
> >>Og lige omkring nedbrudstidspunktet dukker denne linie fra netstat op:
> >>
> >>tcp 0 99280 rhas-2:25014 snc2:25012 ESTABLISHED
> > Ku' være det på snc2 virker som DoS på en sårbar service?
> Det skulle man tro, men det er ikke helt så let. Men det plejer at være

> til at fremprovokere - en af maskinerne går ned et par gange om ugen.

> Alene det er der en del udfordring i. Nedbrudene sker gerne om natten.
> Men aldrig på samme tidspunkt. Og i øvrigt står maskinerne bag et hav af
> firewall's og VPN-forbindelser. I den fysiske verden kræver det en del

Har du checket i loggen på dine firewalls ? Evt. kan tcpdump jo køres på din
firewall. Har du en mirrorport i switchen kan du sætte en bærbar på her.
Hvis du er kompromiteret kan du ikke stole på maskinen selv og vil ikke få
løst problemet.

/Jeppe

References

netstat -a og send que
From: Kristian Vilmann, 2004-09-02
Re: netstat -a og send que
From: Mogens Valentin, 2004-09-04
Re: netstat -a og send que
From: Kristian Vilmann, 2004-09-05