← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #87535

RE: system load eksploderer pludseligt med nmbd

  Thread PreviousDate PreviousThread Next 
 

> -----Original Message-----
> From: Siemen Baader [mailto:sbaader@xxxxxx] 
> Sent: Monday, March 20, 2006 3:45 PM
> To: sslug-teknik@xxxxxxxx
> Subject: [TEKNIK] system load eksploderer pludseligt med nmbd
> 
> Jeg kører samba på et lille win2k-netværk, hvor opsætningen 
> har fungeret fint i to år nu, men på det sidste er jeg 
> begyndt at få problemer med nmbd. Når samba kører, begynder 
> nmbd at bruge en rigtig stor del processortid, og der spawnes 
> også flere nmbd-processer. På den måde bliver systemet meget 
> belastet - så meget, at sendamail fx nægter at sende mails 
> fordi system load er for stor. når jeg slår nmbd ihjel 
> stopper problemet, og netværket fungerer tilsyneladende som 
> det skal også uden.
> 
> Det er især en bestemt computer der genererer en masse trafik 
> imod serveren; der sendes konstant netbios-pakker mellem 
> server og computer. 
> tcpdump giver nedenstående (håber ikke det er en for stor 
> sikkerhedsrisiko at poste det her..?)
> 
> Kan det være at maskinen har fanget noget malware der prøver 
> at lade et DOS-angreb ved at spamme netbios-pakker mod serveren?
> 
> Kan man ikke konfigurere samba sådan, at nmbd ikke reagerer 
> på alt for heftige netbios-opslag ved fx at vente i 3 sec 
> efter gentagne opslag fra samme klient på samme måde som sshd 
> gør ved forkerte adgangskoder?
> 
> Er der noget i vejen for at jeg har slået nmbd ihjel indtil 
> jeg finder en løsning?
> 
> håber nogen kan hjælpe!
> 
> hilsen Siemen
> 
> klip fra tcpdump:
> 
> 15:27:37.913089 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P
> 1448:1630(182) ack 313 win 17208 NBT Packet
> 15:27:37.913665 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P
> 313:352(39) ack 1630 win 6432 NBT Packet
> 15:27:37.915926 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P
> 1630:1810(180) ack 352 win 17169 NBT Packet
> 15:27:37.916176 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P
> 352:391(39) ack 1810 win 6432 NBT Packet
> 15:27:37.927466 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P
> 1810:1992(182) ack 391 win 17130 NBT Packet
> 15:27:37.927696 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P
> 391:430(39) ack 1992 win 6432 NBT Packet
> 15:27:37.929756 IP sr-14.ruc.dk.1069 > sr-server.ruc.dk.netbios-ssn: P
> 1992:2172(180) ack 430 win 17091 NBT Packet
> 15:27:37.930297 IP sr-server.ruc.dk.netbios-ssn > sr-14.ruc.dk.1069: P
> 430:469(39) ack 2172 win 6432 NBT Packet
> 15:27:38.105542 IP sr-14.ruc.dk.1069 > 
> sr-server.ruc.dk.netbios-ssn: . 
> ack 469 win 17052

Det ligner almindelig trafik. 
Feks. kopier en fil fra sr-14.ruc.dk.1069 til sr-server.ruc.dk

Later

Mogens


-- 
This message has been scanned for viruses and
dangerous content by FumlerSoft(http://www.fumlersoft.dk), and is
believed to be clean.

References

  Thread PreviousDate PreviousThread Next