Автор Тема: tcpdump (Прочитано 2266 раз)

зоррыч · « : 30 Сентября 2010, 13:23:17 »

Заметил, что на своем vds иногда необъяснимо растет входящий траффик на сервер, хотя в активных сетевых подключениях никаких "левых" соедиенний нет.
Решил посомтреть что там твориться через tcpdump.
Он выводит:

Код: [Выделить]

zorro@pr5:~$ sudo tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
20:22:26.1285838271 Broadcast Unknown SSAP 0x56 > 00:00:00:00:00:00 (oui Ethernet) Unknown DSAP 0x20 Supervisory, Receiver not Ready, rcv seq 36, Flags [Response], length 4294967282
tcpdump: pcap_loop: corrupted frame on kernel ring mac offset 94 + caplen 170 > frame len 160
20 packets captured
44 packets received by filter
0 packets dropped by kernel
zorro@pr5:~$

Я так понял tcpdump вылетает на некое ограничение и завершает работу. Пытался гуглить, но ничего конкретного не нашел.
Причем, если смотреть интерфейс lo, то тспдамп не вываливается:

Код: [Выделить]

zorro@pr5:~$ sudo tcpdump -i lo
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes

Хотя,если со второй сессии ssh пустить пинг на 127.0.0.1:

Код: [Выделить]

zorro@pr5:~$ sudo tcpdump -i lo
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
tcpdump: pcap_loop: corrupted frame on kernel ring mac offset 94 + caplen 98 > frame len 160
0 packets captured
4 packets received by filter
0 packets dropped by kernel

Из-за чего вылетает tcpdump?

Mam(O)n

Хм. Что то знакомое.. А что говорит uname -a?

зоррыч

Код: [Выделить]

zorro@pr5:~$ uname -a
Linux pr5 2.6.18-2-pve #1 SMP Mon Feb 1 10:45:26 CET 2010 i686 GNU/Linux

Mam(O)n

Хм. А система какая? Обновления стоят последние?

Пользователь решил продолжить мысль 30 Сентября 2010, 13:36:01:

Система виртуализации OpenVZ, как я понимаю?

Пользователь решил продолжить мысль 30 Сентября 2010, 13:44:22:

А, вот оно откуда мне это знакомо. Там похоже тоже ничего не решилось.

зоррыч

Стоит Ubuntu 9.04

Код: [Выделить]

zorro@pr5:~$ cat /proc/version
Linux version 2.6.18-2-pve (root@oahu) (gcc version 4.1.3 20080704 (prerelease) (Debian 4.1.2-25)) #1 SMP Mon Feb 1 10:45:26 CET 2010
zorro@pr5:~$
zorro@pr5:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 9.04
Release:        9.04
Codename:       jaunty

Да, витруализация OpenVZ, насколько я знаю она не позволяет ставить свое ядро или патчить уже существующие. Xen они не предоставляют.

Добавлю, что на другой виртуалке с OpenVZ тспдамп отрабатывает без проблем, данные с ней:

Код: [Выделить]

zorro@pr1:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 9.04
Release:        9.04
Codename:       jaunty
zorro@pr1:~$ cat /proc/version
Linux version 2.6.26-2-openvz-686 (Debian 2.6.26-24) (dannf@debian.org) (gcc version 4.1.3 20080704 (prerelease) (Debian 4.1.2-25)) #1 SMP Mon Jun 21 08:19:01 UTC 2010

Mam(O)n

А версии libpcap совпадают на системах? Но скорее всего да и тут похоже, что всё же в ядре дело и пинать надо хостера, чтоб обновил.. Благо для его системы виртуалтизации Proxmox VE уже давно есть собранные и запакетированные ядра 2.6.24 и 2.6.32 версий.

зоррыч

Совпадают, хоьтя возможно я неверно смотрел:

Код: [Выделить]

zorro@pr5:~$ strings /usr/lib/libpcap.so.0.8  | grep version
pcap_major_version
pcap_minor_version
pcap_lib_version
pcap_version
unsupported tpacket version %d
libpcap version 1.0.0

На втором тоже самое. Главное отличие, что у виртуалки, где tcpdump работает сеть организована через интерфейсы venet0,а не eth0

Буду общаться с хостером,спасибо за консультацию

Форум русскоязычного сообщества Ubuntu

Автор Тема: tcpdump (Прочитано 2266 раз)

зоррыч

tcpdump

Mam(O)n

Re: tcpdump

зоррыч

Re: tcpdump

Mam(O)n

Re: tcpdump

зоррыч

Re: tcpdump

Mam(O)n

Re: tcpdump

зоррыч

Re: tcpdump