не подскажете новичку в чем тут дело

0

0

после некоторого времени серфинга netstat пишет такую вещь :

tcp 348 0 localhost.localdom:1825 localhost.localdo:squid CLOSE_WAIT

tcp 350 0 localhost.localdom:1830 localhost.localdo:squid CLOSE_WAIT

tcp 408 0 localhost.localdom:1835 localhost.localdo:squid CLOSE_WAIT

tcp 588 0 localhost.localdom:1833 localhost.localdo:squid CLOSE_WAIT

причем если отключить и браузер и сквид это дело все равно болтается, хотя в принципе не мешает но как это можно убрать?

Ссылка

←	«хитрая почта»

Iptables

→

Если я не ошибаюсь и если это то, что я думаю, то это разорванные сессии TCP в состоянии TIME-WAIT. Это особенность протокола TCP, и длится это состояние от 30 секунд до 2 минут. То бишь так и быть должно. Но я может быть ошибаюсь.

ansky ★★★★★
(28.01.02 02:25:35 MSK)

Ссылка

Убрать можно - исправив определенную константу в ядре (тебе оно надо?).

anonymous
(28.01.02 07:17:06 MSK)

Ссылка

В-общем, верно. Ну, болтается и болтается. Каши (в смысле ресурсов) не просит. Может, кстати, и неделю так болтаться.

Obidos ★★★★★
(28.01.02 08:48:56 MSK)

Ссылка

> Может, кстати, и неделю так болтаться.
Не видел ни одного ядра Линукса, где TIME-WAIT больше 4 минут.

Со всем остальным согласен.

Если интересны подробности, тебе сюда:

http://www.linux.org.ru/jump-message.jsp?msgid=143672

RTFM ★
(29.01.02 00:02:58 MSK)

Ссылка

Могу свое 2.0.36 с роутера показать, где в таком состоянии какой-то коннект висел около трех суток. Потом убился.

Obidos ★★★★★
(29.01.02 08:30:46 MSK)

Ссылка

> Могу свое 2.0.36 с роутера показать
А 1.0.0 у тебя не завалялось где-нибудь :)

> Может, кстати, и неделю так болтаться.
> какой-то коннект висел около трех суток.
Как это контрастирует :)

Дык, может этот коннект каждые n минут кто-то поднимал и бросал, обломавшись (сканировщик какой-нибудь, вирь, робот, ....)

2 Obidos: Не в обиду ;)

RTFM ★
(30.01.02 07:23:14 MSK)

Ссылка

> Дык, может этот коннект каждые n минут кто-то поднимал и бросал, обломавшись (сканировщик какой-нибудь, вирь, робот, ....)

А, пофиг. Пусть сканируют. Увижу в логах, что с какого-то IP слишком часто балуются, письмо его провайдеру напишу. На роутере только ssh есть, и тот после того, как меня поломали, наружу не смотрит. Там даже gcc с сендмылом снесены.

Я не обижаюсь. Просто мне до лампады, что какой-то там остаток коннекта болтается.

А насчет 2.0 -- он меня недавно спас. В-общем, не пропатчил я ssh на предмет crc32 compensation attack и поломал меня некто из Гонконга (так сказал whois на предмет его IP). Воткнул он руткит. Но вот в чем его проблема -- на 2.0 этот руткит замаскироваться не может. Все, на что его хватило -- создал пользователя armand и пустил сниффер на внутреннюю сетку. Даже логи за собой вычистить не смог. Хотя (после просмотра исходника этого руткита видно, что на 2.2 ядрах он маскируется (процесс не виден, каталоги и файлы тоже). Было бы 2.2 -- я бы не заметил. Ибо руткит прилично завязан на то, чем в 2.0 и не пахнет. А так -- поганец вычищен с отправкой письма его провайдеру (чтоб ему там харакири).

Obidos ★★★★★
(30.01.02 08:31:17 MSK)