Freesco, NND, CDN, EOS
http://forum.freesco.pl/

dziwny wynik ip_conntrack
http://forum.freesco.pl/viewtopic.php?f=22&t=10550		 Strona 1 z 1
Autor:  sert [ wtorek, 3 stycznia 2006, 11:05 ]
Tytuł:  dziwny wynik ip_conntrack
Witam

Do NND (192.168.1.15) dla testow mam podpiet 2 kompy jedem z NND (host NND-2 192.168.2.2)) a drugi z win xp (host Komp_1 192.168.2.20). Oba komputery maja przypisane IP statycznie a dhcp moze nadac tylko 2 adresy 192.168.2.250 oraz 192.168.2.251.
Odpalam dla testow emula zapodaje 4 pliki do scigniecia laczy sie z okolo 500 adresami. Na poczatku statystyka generowana dla Komp_1 czyli
: [/] [] ()
#!/bin/sh
polaczenia=`cat /proc/net/ip_conntrack | grep 192.168.2.20 | grep tcp | wc -l`
polaczeniaest=`cat /proc/net/ip_conntrack | grep ESTABLISHED | grep 192.168.2.20 | grep tcp | wc -l`
echo $polaczeniaest
echo $polaczenia
GeSHi © Codebox Plus


dochodzi do 170/70 polaczen ale jak niby polaczy sie z tymi 500 hostami i wrzuci mnie do kolejki to polaczenia spadaja do okolo 30/60. Wiec niby ok. Gdy podczas pierwszej proby odpalilem
: [/] [] ()
 cat /proc/net/ip_conntrack |wc -l
GeSHi © Codebox Plus

to ilosc polaczen kolo 200 podczas drugiej 550. W miedzy czasie wylaczylem 2 pliki ktore generowaly wedlug emula najwiecej polaczen bo 400 i zostaje tylko 100. Zostawiam to na cala noc rano wedlug staty dla Komp_1 (192.168.2.20) polaczen sa na poziomie 25/40 ale gdy odpalilem
: [/] [] ()
 cat /proc/net/ip_conntrack |wc -l
GeSHi © Codebox Plus

to mialem juz 1250 sledzonych polaczen 8O
Dodam ze mam zmienione czasy utrzymywania polaczen na
: [/] [] ()
 echo 8192 > /proc/sys/net/ipv4/ip_conntrack_max
echo 8192 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 50 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 7200 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
GeSHi © Codebox Plus

nawet sam recznie sprawdzalem w proc/sys/net/ipv4/netfilter i sa te prawidlowe. Skad tyle polaczen i tak dlugo przetrzymywanych, jakim cudem jak najdluzsze moze wynosic 7200 sekund czyli 2h ???
Jeszcze jedna rzecz
: [/] [] ()
 tcp      6 7045 ESTABLISHED src=192.168.2.1 dst=192.168.2.30 sport=55428 dport=80 [UNREPLIED] src=192.168.2.30 dst=192.168.2.1 sport=80 dport=55428 use=1 mark=0
tcp      6 214 ESTABLISHED src=192.168.2.1 dst=192.168.2.27 sport=38105 dport=80 [UNREPLIED] src=192.168.2.27 dst=192.168.2.1 sport=80 dport=38105 use=1 mark=0
tcp      6 1922 ESTABLISHED src=192.168.2.1 dst=192.168.2.26 sport=48446 dport=80 [UNREPLIED] src=192.168.2.26 dst=192.168.2.1 sport=80 dport=48446 use=1 mark=0
tcp      6 5679 ESTABLISHED src=192.168.2.1 dst=192.168.2.28 sport=51714 dport=80 [UNREPLIED] src=192.168.2.28 dst=192.168.2.1 sport=80 dport=51714 use=1 mark=0
tcp      6 6361 ESTABLISHED src=192.168.2.1 dst=192.168.2.21 sport=58789 dport=80 [UNREPLIED] src=192.168.2.21 dst=192.168.2.1 sport=80 dport=58789 use=1 mark=0
tcp      6 5337 ESTABLISHED src=192.168.2.1 dst=192.168.2.19 sport=61003 dport=80 [UNREPLIED] src=192.168.2.19 dst=192.168.2.1 sport=80 dport=61003 use=1 mark=0
tcp      6 3970 ESTABLISHED src=192.168.2.1 dst=192.168.2.5 sport=33240 dport=80 [UNREPLIED] src=192.168.2.5 dst=192.168.2.1 sport=80 dport=33240 use=1 mark=0
tcp      6 3287 ESTABLISHED src=192.168.2.1 dst=192.168.2.9 sport=44343 dport=80 [UNREPLIED] src=192.168.2.9 dst=192.168.2.1 sport=80 dport=44343 use=1 mark=0
tcp      6 1921 ESTABLISHED src=192.168.2.1 dst=192.168.2.13 sport=48446 dport=80 [UNREPLIED] src=192.168.2.13 dst=192.168.2.1 sport=80 dport=48446 use=1 mark=0
tcp      6 5679 ESTABLISHED src=192.168.2.1 dst=192.168.2.19 sport=51714 dport=80 [UNREPLIED] src=192.168.2.19 dst=192.168.2.1 sport=80 dport=51714 use=1 mark=0
udp      17 145 src=201.141.0.110 dst=192.168.1.15 sport=6349 dport=4672 src=192.168.2.20 dst=201.141.0.110 sport=4672 dport=6349 [ASSURED] use=1 mark=0
tcp      6 6362 ESTABLISHED src=192.168.2.1 dst=192.168.2.23 sport=58790 dport=80 [UNREPLIED] src=192.168.2.23 dst=192.168.2.1 sport=80 dport=58790 use=1 mark=0
tcp      6 3971 ESTABLISHED src=192.168.2.1 dst=192.168.2.24 sport=33240 dport=80 [UNREPLIED] src=192.168.2.24 dst=192.168.2.1 sport=80 dport=33240 use=1 mark=0
tcp      6 213 ESTABLISHED src=192.168.2.1 dst=192.168.2.13 sport=38106 dport=80 [UNREPLIED] src=192.168.2.13 dst=192.168.2.1 sport=80 dport=38106 use=1 mark=0
tcp      6 3 TIME_WAIT src=24.14.128.172 dst=192.168.1.15 sport=2835 dport=4662 src=192.168.2.20 dst=24.14.128.172 sport=4662 dport=2835 [ASSURED] use=1 mark=0
tcp      6 896 ESTABLISHED src=192.168.2.1 dst=192.168.2.14 sport=34075 dport=80 [UNREPLIED] src=192.168.2.14 dst=192.168.2.1 sport=80 dport=34075 use=1 mark=0
tcp      6 6703 ESTABLISHED src=192.168.2.1 dst=192.168.2.21 sport=50598 dport=80 [UNREPLIED] src=192.168.2.21 dst=192.168.2.1 sport=80 dport=50598 use=1 mark=0
udp      17 172 src=80.178.1.68 dst=192.168.1.15 sport=5672 dport=4672 src=192.168.2.20 dst=80.178.1.68 sport=4672 dport=5672 [ASSURED] use=1 mark=0
udp      17 24 src=219.90.185.144 dst=192.168.1.15 sport=4672 dport=4672 src=192.168.2.20 dst=219.90.185.144 sport=4672 dport=4672 [ASSURED] use=1 mark=0
tcp      6 49 FIN_WAIT src=192.168.2.20 dst=83.22.120.109 sport=1067 dport=41800 src=83.22.120.109 dst=192.168.1.15 sport=41800 dport=1067 [ASSURED] use=1 mark=0
tcp      6 1580 ESTABLISHED src=192.168.2.1 dst=192.168.2.18 sport=36164 dport=80 [UNREPLIED] src=192.168.2.18 dst=192.168.2.1 sport=80 dport=36164 use=1 mark=0
GeSHi © Codebox Plus


192.168.2.1 to eth1 w NND ale dziwia mnie te adresy z tejze sieci np. 192.168.2.30, 27, 26, 19, 13, 5 itd jest ich tam wiele ale jakim cudem jak mam podpiete tylko 2 kompy i takie adresy nie byly nadane prze dhcp dynamicznie ani statycznie.

z gory dzieki za odp.
pozdrawiam
sert
Autor:  zciech [ wtorek, 3 stycznia 2006, 12:43 ]
Tytuł: 
Na wydruku nie widze placzen dluższych jak 7200.

To jest czas utrzymywania polaczenia w tablicy po przeslaniu ostatniego pakietu, kazdy przeslany pakiet ustawia ponownie licznik na 7200 :idea: :!:

co do tych dziwnych adresow to moze twoje programy probuja ukrywac IP.
Autor:  sert [ wtorek, 3 stycznia 2006, 13:55 ]
Tytuł: 
zciech pisze:
Na wydruku nie widze placzen dluższych jak 7200.

Masz racje sprawdzilem inne i rzeczywiscie nie ma dluzszego niz 7200.

zciech pisze:
To jest czas utrzymywania polaczenia w tablicy po przeslaniu ostatniego pakietu, kazdy przeslany pakiet ustawia ponownie licznik na 7200 :idea: :!:

Chyba nie w nieskonczonosc?? :)
No ale jakby te utrzymywane polaczenia w tablicy mialy pochodzic z emula to musialby on wyslac lub odebrac pakiety od 1200 hostow przez ostatnie 2h.

Ponadto zauwazylem ze polaczenia utrzymywane w tablicy w 95% nie pochodza z wczesnijeszych polaczen emula przynajmniej tak mi sie wydaje bo przy wiekszosci polaczen sa to polaczenia lokalne z nieistniejacymi hostami, tylko okolo 5% jest tego typu
: [/] [] ()

udp      17 115 src=24.37.176.204 dst=192.168.1.15 sport=4672 dport=4672 src=192.168.2.20 dst=24.37.176.204 sport=4672 dport=4672 [ASSURED] use=1 mark=0
udp      17 3 src=192.168.2.20 dst=84.222.138.212 sport=4672 dport=4672 src=84.222.138.212 dst=192.168.1.15 sport=4672 dport=4672 use=1 mark=0
udp      17 7 src=219.71.244.75 dst=192.168.1.15 sport=4672 dport=4672 src=192.168.2.20 dst=219.71.244.75 sport=4672 dport=4672 use=1 mark=0
tcp      6 7198 ESTABLISHED src=80.72.37.162 dst=192.168.1.15 sport=3803 dport=4662 src=192.168.2.20 dst=80.72.37.162 sport=4662 dport=3803 [ASSURED] use=1 mark=0
tcp      6 7199 ESTABLISHED src=82.177.43.146 dst=192.168.1.15 sport=2433 dport=4662 src=192.168.2.20 dst=82.177.43.146 sport=4662 dport=2433 [ASSURED] use=1 mark=0
GeSHi © Codebox Plus


co swiadczy o dzialaniu emula.

zciech pisze:
co do tych dziwnych adresow to moze twoje programy probuja ukrywac IP.


Jakie np.?
bo to sa polaczenia z NND na nieistniejace hosty na port 80
Autor:  sert [ wtorek, 3 stycznia 2006, 23:37 ]
Tytuł: 
Odlaczylem oba kompy od NND, zresetowalem i tak chodzil sobie sam ale to tylko sam okolo 6h poczym sprawdzam przetrzymywane polaczenia w tablicy
: [/] [] ()
cat /proc/net/ip_conntrack |wc -l
GeSHi © Codebox Plus

i wywala 1220 wiec powie mi ktos moze z czym to sie "je" bo nie mam zielonego pojecia :(

pozdrawiam
Autor:  zciech [ wtorek, 3 stycznia 2006, 23:46 ]
Tytuł: 
Cytuj:
No ale jakby te utrzymywane polaczenia w tablicy mialy pochodzic z emula to musialby on wyslac lub odebrac pakiety od 1200 hostow przez ostatnie 2h.

A co myslisz ze nie potrafi?

Swiat tak Cie kocha, ze przysyla Ci Kuuuuuuuuuuuuuupeeeeeeeeeeeeee danych. Dales sie poznac innym jako dobry Stachanowiec, e tego no emulowiec (osiołkowiec), to teraz Cie atakuja:
-przyslij mi cos, prose prose.

I zostaw juz ten conntrack w spokoju.
Autor:  sert [ czwartek, 5 stycznia 2006, 15:36 ]
Tytuł: 
zciech pisze:
Cytuj:
No ale jakby te utrzymywane polaczenia w tablicy mialy pochodzic z emula to musialby on wyslac lub odebrac pakiety od 1200 hostow przez ostatnie 2h.

A co myslisz ze nie potrafi?

Swiat tak Cie kocha, ze przysyla Ci Kuuuuuuuuuuuuuupeeeeeeeeeeeeee danych. Dales sie poznac innym jako dobry Stachanowiec, e tego no emulowiec (osiołkowiec), to teraz Cie atakuja:
-przyslij mi cos, prose prose.


Ok tylko w przedostatnim poscie pisalem ze jednak nie jest to wina emula a polaczenia w tablicy pochodza z NND, zreszta widac ze pochodza z eth1 na nieistnejace hosty.


zciech pisze:
I zostaw juz ten conntrack w spokoju

Poprostu chce wyjasnic przyczyne :) no ale chyba pozostanie to niewyjasnione bo nie moge znalezc zadnej odp.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/