Непонятный траффик от роутера и сквида

0

0

Добрый день! Есть сервер, пользователи подключаются к нему использую openvpn. Один из пользователей 1 августа в час ночи выключил комп и пошел спать :). По логам опенвпн это видно.

Но в логах сквида что-то странное: [01:22:12.343-01.08.2007]: 3084485 10.8.1.2 TCP_MISS/200 33709 CONNECT 64.12.25.13:443 - DIRECT/64.12.25.13 - [19:25:11.195-01.08.2007]: 68164355 10.8.1.2 TCP_MISS/000 0 POST http://win.mail.ru/cgi-bin/sendmsg - DIRECT/194.67.57.50 -

При этом пользователь НЕ подключался к серверу опенвпн ни в 1:22 не около 19:25. Подключился снова он тольк около 23-00. Логи openvpn чистые.

Глюк сквида? Какие-то запоздалые запросы отрабатывались?

Ссылка

←	Уязвимости в ветке 2.4 ядра Linux

Tripwire & /proc

→

Произошёл запоздалый CONNECTION TIMEOUT, который squid и записал в лог.

birdie ★★★★★
(02.08.07 08:23:58 MSD)

Ответ на: комментарий от birdie 02.08.07 08:23:58 MSD

А такое реально - запоздать на 18 часов и "съесть" 68 + 3 метров траффика? Просто ни разу не сталкивался с подобным.

anonymous
(02.08.07 08:59:02 MSD)

Ответ на: комментарий от anonymous 02.08.07 08:59:02 MSD

Это не 68 + 3 метров траффика, это 68 + 3 миллиона миллисекунд.

Запись в логе появляется не с открытием тср-соединения, а с закрытием.

Возможно Вас спасет включение tcp_keepalive

ansky ★★★★★
(02.08.07 09:19:15 MSD)

Ответ на: комментарий от ansky 02.08.07 09:19:15 MSD

Спасибо, понял. Почему-то посчитал второй параметр лога за рзамер данных :( Как говорится, rtfm.

anonymous
(02.08.07 09:39:13 MSD)

Ответ на: комментарий от anonymous 02.08.07 09:39:13 MSD

Можно использовать какую-нибудь утилитку для анализа журналов squid, например http://free-sa.sf.net , тогда секунды с трафиком не перепутаете ;-)

saper ★★★★★
(07.08.07 21:26:03 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Уязвимости в ветке 2.4 ядра Linux

Tripwire & /proc

→