Opa,
Eu de novo, seguinte não manjo muito do tcpdump, mas meu servidor centos 5.2 tem apresentado um certo consumo de banda alto, após muito procurar a única anormalidade que encontrei foi essa:
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: UDP (17), length: 29) xxx.xxx.xxx.xxx.43226 > 72.232.177.66.domain: [udp sum ok] [|domain]
ao rodar qquer comando no tcpdump ele só tem esse IP, aprox umas 200 requisições por segundo
Tentei bloquear o IP no IPTables, mas pelo visto não adiantou.
ABs
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4482 (20091005) __________
The message was checked by ESET NOD32 Antivirus.
On Oct 5, 2009, at 8:41 PM, ASalomao wrote:
Opa,
Eu de novo, seguinte não manjo muito do tcpdump, mas meu servidor centos 5.2 tem apresentado um certo consumo de banda alto, após muito procurar a única anormalidade que encontrei foi essa:
O tcpdump não é a melhor ferramenta para se analisar consumo de link porque ele não te dá essa informação por unidade de tempo. Eu sugiro que você utilize o iptraf ou algo similar.
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: UDP (17), length: 29) xxx.xxx.xxx.xxx.43226 > 72.232.177.66.domain: [udp sum ok] [|domain]
ao rodar qquer comando no tcpdump ele só tem esse IP, aprox umas 200 requisições por segundo
Tentei bloquear o IP no IPTables, mas pelo visto não adiantou.
Você provavelmente tem um servidor de DNS nesse host (ou em uma máquina interna da rede) tentando resolver nomes através de pesquisa recursiva.
Pacotes de requisição DNS são extremamente pequenos e é bem improvável que estejão causando lentidão na sua rede. Entretanto seria interessante você colocar a opção de "forward first" (no named.conf) para ele primeiro consultar o seu provedor.
Resumindo, instale uma ferramenta que seja mais apropriada e vá a fundo :)
Giovanni P. Tirloni tirloni@gmail.com
Ummmmm isso tá bem estranho. Esse seu servidor é também um servidor de DNS para alguma rede sua? Já checou os processos para ver se não tem nada de estranho rodando no seu servidor? Ele possui algum firewall? Está 100% atualizado? Porque se não está atualizado e tiver alguma possibilidade de acesso remoto através da Internet, ele pode ter sido comprometido. Mas é complexo de afirmar isso sem olhar o sistema. Instala também o rkhunter para checar se tem algum rootkit conhecido, instalado no seu servidor. Eu sei que são palavras pessimistas meu amigo mas temos que pensar em tudo e checar tudo. :) Faz esse comando pra ver se pelo menos param os acessos:
iptables -I OUTPUT -p udp --dport 53 -d 72.232.177.66 -j DROP
-----Mensagem original----- De: centos-pt-br-bounces@centos.org [mailto:centos-pt-br-bounces@centos.org] Em nome de ASalomao Enviada em: segunda-feira, 5 de outubro de 2009 20:41 Para: centos-pt-br@centos.org Assunto: [CentOS-pt-br] tcpdump
Opa,
Eu de novo, seguinte não manjo muito do tcpdump, mas meu servidor centos 5.2 tem apresentado um certo consumo de banda alto, após muito procurar a única anormalidade que encontrei foi essa:
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: UDP (17), length: 29) xxx.xxx.xxx.xxx.43226 > 72.232.177.66.domain: [udp sum ok] [|domain]
ao rodar qquer comando no tcpdump ele só tem esse IP, aprox umas 200 requisições por segundo
Tentei bloquear o IP no IPTables, mas pelo visto não adiantou.
ABs
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4482 (20091005) __________
The message was checked by ESET NOD32 Antivirus.
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
__________ Informação do ESET NOD32 Antivirus, versão da vacina 4482 (20091005) __________
A mensagem foi verificada pelo ESET NOD32 Antivirus.
__________ Informação do ESET NOD32 Antivirus, versão da vacina 4482 (20091005) __________
A mensagem foi verificada pelo ESET NOD32 Antivirus.
discuss-pt-br@lists.centos.org
-
ASalomao -
Giovanni P. Tirloni -
Marcelo Gondim