Egyszerű netböngészéskor valamiért SYN flood indul a gépemről a megnyitni kívánt weboldal felé!
- 2635 megtekintés
Hozzászólások
A browserben (firefox 2.0.0.11) nem jönnek be bizonyos oldalak. Nem mindig fordul elő a probléma és nem mindig ugyanazokkal az oldalakkal. A router (SMC7004ABR) logjából kiderült, hogy az helyi IP-mről kiinduló SYN flood árasztja el a megnyitott oldal IP-jét. A log szerint csak erről az IP-ről fordul elő a SYN flood, a router mögött levő többi gépről nem.
A rendszerem: uhu linux 2.0, KDE 3.5.3
Konquerorral és operával szintén nem jönnek be időnként az oldalak, de a router logjában mégsem látom, hogy SYN flood-olna. Viszont wireshark-kal szépen látszik, hogy mennek ki a TCP kapcsolatnyitási SYN-kérelmek, de SYN-ACK meg nem megy ki.
A wiresharkkal kiderítettem, hogy mely portokról mennek kifelé ezek a SYN-áradatok, lsof-fal pedig, hogy ezeket a portokat akkor melyik processz fogta:
amikor firefox alatt akadozott a böngészés, akkor a flood a firefox-bin által fogott portról indult. Amikor konqueror alatt nem jöttek be az oldalak, a kio_http nevű processz indította a flood-ot.
Az a nagy büdös kérdésem, hogy mi a fenéért van ez?! :)
- A hozzászóláshoz be kell jelentkezni
Kaptál már visszajelzést valamelyik üzemeltetőtől?
kötöjelkötöjel
//:wladek's world
- A hozzászóláshoz be kell jelentkezni
Nem. De még az is lehet, hogy a router nemcsak loggolta, hanem ki is szűrte a SYN-eket?
- A hozzászóláshoz be kell jelentkezni
A routered hibásan detektálja ezt SYN-floodnak.
A SYN-ACK-nak bejönnie kellene, és nem ki, ezért küld a böngésző újabb és újabb SYN-t.
Egyetlen tippem, hogy nekem volt hasonló problémám, hogy bizonyos oldalak nem jöttek be: a tűzfalamban tiltottam a túl nagy mennyiségben egyszerre beérkező ICMP csomagokat. Azonban túl élesre sikerült, és így az "MTU túl nagy" csomagok is el lettek dobva. Helyette folyamatosan ment ki a SYN...
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
Néhány századmásodperc alatt ment ki nagyságrendileg 10-20 SYN. Szerintem az a valami, ami kiküldte őket, esélyt sem hagyott rá, hogy beérkezzenek a SYN-ACK-ok, hanem várakozás nélkül küldözgette kifelé a sok SYN-t.
Ennek az ICMP + MTU dolognak utánanézek.
- A hozzászóláshoz be kell jelentkezni
Ha router Firewall/Intrusion menüben beállítod a "Maximum incomplete TCP/UDP sessions number from same host" értékét 50-re ill. "Maximum incomplete TCP/UDP sessions number to same host" értékét 10-ről megemeled, akkor is ez van?
- A hozzászóláshoz be kell jelentkezni
OK, amióta 10 helyett 50-en van ez az érték, azóta még nem jött elő a gond!
Viszont azért még kis MTU értékekkel is próbálkozni fogok.
- A hozzászóláshoz be kell jelentkezni
Jutottál valamire?
Hasonló történik velem is, egy SMC2804WBRP-G -al, de én kliensnek win xp-t használok.
- A hozzászóláshoz be kell jelentkezni
Próbáld levenni az MTU-t pl. 1400-ra. Ha megszűnik a jelenség, akkor tipikus Path MTU Discovery probléma.
- A hozzászóláshoz be kell jelentkezni
Levettem az eredeti 1454-ről 1400-ra, sajnos nem volt hatása. Kiváncsi vagyok, hogy ha még jobban leveszem, akkor mi lesz.
Szerk.: 600-as MTUnál is ugynúgy volt ez a flood-jelenség. Szóval úgy túnik, hogy nem az MTU a hibás.
- A hozzászóláshoz be kell jelentkezni
Ez miért lenne "tipikus Path MTU Discovery probléma", és miben befolyásolná a 40(+options) byte-os SYN, illetve az erre válaszként érkező hasonló méretű SYN-ACK csomagokat az 1400 és 1500 közötti MTU?
- A hozzászóláshoz be kell jelentkezni