← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #87534

system load eksploderer pludseligt med nmbd

  Thread PreviousDate PreviousThread Next
Jeg kører samba på et lille win2k-netværk, hvor opsætningen har fungeret fint i to år nu, men på det sidste er jeg begyndt at få problemer med nmbd. Når samba kører, begynder nmbd at bruge en rigtig stor del processortid, og der spawnes også flere nmbd-processer. På den måde bliver systemet meget belastet - så meget, at sendamail fx nægter at sende mails fordi system load er for stor. når jeg slår nmbd ihjel stopper problemet, og netværket fungerer tilsyneladende som det skal også uden.
Det er især en bestemt computer der genererer en masse trafik imod serveren; der sendes konstant netbios-pakker mellem server og computer. tcpdump giver nedenstående (håber ikke det er en for stor sikkerhedsrisiko at poste det her..?)
Kan det være at maskinen har fanget noget malware der prøver at lade et DOS-angreb ved at spamme netbios-pakker mod serveren?
Kan man ikke konfigurere samba sådan, at nmbd ikke reagerer på alt for heftige netbios-opslag ved fx at vente i 3 sec efter gentagne opslag fra samme klient på samme måde som sshd gør ved forkerte adgangskoder?
Er der noget i vejen for at jeg har slået nmbd ihjel indtil jeg finder en løsning? 

håber nogen kan hjælpe!

hilsen Siemen

klip fra tcpdump:
15:27:37.913089 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P 1448:1630(182) ack 313 win 17208 NBT Packet 15:27:37.913665 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P 313:352(39) ack 1630 win 6432 NBT Packet 15:27:37.915926 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P 1630:1810(180) ack 352 win 17169 NBT Packet 15:27:37.916176 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P 352:391(39) ack 1810 win 6432 NBT Packet 15:27:37.927466 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P 1810:1992(182) ack 391 win 17130 NBT Packet 15:27:37.927696 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P 391:430(39) ack 1992 win 6432 NBT Packet 15:27:37.929756 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P 1992:2172(180) ack 430 win 17091 NBT Packet 15:27:37.930297 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P 430:469(39) ack 2172 win 6432 NBT Packet 15:27:38.105542 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: . ack 469 win 17052

Follow ups

  Thread PreviousDate PreviousThread Next