LINUX.ORG.RU
ФорумAdmin

Ubuntu флудит.


0

1

Добрый день. Заметил, что один сервер стал валить нам локалку и интернеты ( всё стало очень медленным ), методом стуков в бубен обануржил, что это Ubuntu Server 14, tcpdump стреляет очередью запросов вида:

16:11:29.598371 ARP, Request who-has 192.168.0.20 tell 192.168.0.150, leight 28
И т.д. аналогично, если просто замкнуть 2 сетевухи сервера патч- кордом. В гугл сходил, пока не понял, что делать с этим.


Запрашивает от имени 192.168.0.150, какой мак адрес у хоста с ип 192.168.0.20. Т.е. пытается с последним установить конект.

roman77 ★★★★★
()
Последнее исправление: roman77 (всего исправлений: 1)
Ответ на: комментарий от Bain

Но вообще 20- шлюз. Хотя не понятно как от него могут идти запросы, если серв не в локалке.

Bain
() автор топика

Походу у тебя просто дублируется ip-шник (в смысле 2-ва одинаковых) в локалке. Arp не может валить так как ты написал.

invokercd ★★★★
()
Ответ на: комментарий от invokercd

Исключено, все айпишники юзеров и все служебные привязаны на дхцп и для верности прописаны вручную

Bain
() автор топика
Ответ на: комментарий от invokercd

Не потеря скорости, пинги от 20 до 7000мс, при этом сам сервер прекрасно пингуется, шлюз с проблемного сервера тоже норм пингуется. з.ы. воткнул на пару минут в сетку, отлуп tcpdump за эти минутки

17:28:27.972756 IP 192.168.131.142.39097 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.972759 IP 192.168.131.142.62674 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.972760 IP 192.168.131.142.30400 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973011 IP 192.168.131.142.5960 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973013 IP 192.168.131.142.37007 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973015 IP 192.168.131.142.30702 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973256 IP 192.168.131.142.25036 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973258 IP 192.168.131.142.50116 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973260 IP 192.168.131.142.50744 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973504 IP 192.168.131.142.60009 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973505 IP 192.168.131.142.46061 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973507 IP 192.168.131.142.25085 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973754 IP 192.168.131.142.57662 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973755 IP 192.168.131.142.52031 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.973756 IP 192.168.131.142.60734 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:27.974004 IP 192.168.131.142.22329 > 192.95.1.46.http:  tcp 1027 [bad hdr length 0 - too short, < 20]
17:28:45.326759 IP 192.168.131.142.27793 > 192.95.1.58.http:  

И такого за минуту записало 49мб

Bain
() автор топика
Ответ на: комментарий от Bain

айпишка реальная? Если да, то возможно там панамский персидский бот.

bad hdr length 0 - просто может быть багом в tcpdump

invokercd ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.