https://www.opennet.dev/openforum/vsluhforumID1/95491.html FreeBSD 9.0 - шлюз в инет. Сетка около 100 пользователей. Прокси - Squid, что-то закрыто\открыто файрволлом IPFW, pure-ftpd с обменами мелкими файликами. Канал в инет 20 Мбит/с.<br><br>С недавнего времени канал начал чем-то забиваться. Пинг на шлюз провайдера идет с 50% потерей пакетов. Провайдер говорит, что трафик поднимается до 40-60 Мбит. TCPtrack показывает скорость на обоих интерфейсах стабильно 1-2 Мбита. В итоге помогает только перегрузка сервака и только часа на 3-4, после чего ситуация возвращается в прежнее русло.<br><br>Есть какие-нибудь еще варианты отслеживания, что может забивать канал? <br><br><br><br><br> <br> https://www.opennet.dev/openforum/vsluhforumID1/95491.html#6 Thu, 13 Mar 2014 11:28:22 GMT &gt;&gt;&gt;&gt;1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd <br>&gt;&gt;&gt; Похоже тебя DDOSят через уязвимость в ntpd <br>&gt;&gt;&gt; Посмотри трафик udp на 123 порт.<br>&gt;&gt; У меня уже появлялась мысль о ДДОСе. А как лучше посмотреть?<br>&gt; Что лучше каждый решает для себя сам. Я пользуюсь trafshow.<br><br>Вообще, красиво, конечно. Тыкаю<br><br>ipfw add 6 reject all from any to me dst-port 123<br>и<br>ipfw del 6<br><br>И смотрю как меняется картина с пингом и на том же trafshow.<br><br>Вобщем, идея ясна. Всем спасибо.<br><br><br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/95491.html#5 Thu, 13 Mar 2014 10:28:21 GMT &gt;&gt;&gt;1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd <br>&gt;&gt; Похоже тебя DDOSят через уязвимость в ntpd <br>&gt;&gt; Посмотри трафик udp на 123 порт.<br>&gt; У меня уже появлялась мысль о ДДОСе. А как лучше посмотреть?<br><br>Что лучше каждый решает для себя сам. Я пользуюсь trafshow. <br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/95491.html#4 Thu, 13 Mar 2014 10:15:17 GMT &gt;&gt;1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd <br>&gt; Похоже тебя DDOSят через уязвимость в ntpd <br>&gt; Посмотри трафик udp на 123 порт.<br><br>У меня уже появлялась мысль о ДДОСе. А как лучше посмотреть?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/95491.html#3 Thu, 13 Mar 2014 10:13:10 GMT &gt;1807 root 1 21 0 11296K 2572K select 1 2:13 2.88% ntpd<br><br>Похоже тебя DDOSят через уязвимость в ntpd<br>Посмотри трафик udp на 123 порт.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/95491.html#2 Thu, 13 Mar 2014 10:06:07 GMT <br>&gt; использовать tcpdump, trafshow, wireshark <br><br>А trafshow у меня тоже есть, но мне он показался более запутанным, чем tcptrack. Остальные попробую потыкать.<br><br>&gt; давайте сюда, всё равно попросят )) <br>&gt; uname -a <br><br>FreeBSD pollux 9.0-RELEASE FreeBSD 9.0-RELEASE #3: Mon Apr 2 19:09:01 MSK 2012 akasa@pollux:/usr/obj/usr/src/sys/HL_SPB_12 i386<br><br>&gt; top <br><br>last pid: 2938; load averages: 0.31, 0.28, 0.30 up 0+01:12:54 14:04:40<br>51 processes: 1 running, 50 sleeping<br>CPU: 4.9% user, 0.0% nice, 2.8% system, 3.5% interrupt, 88.8% idle<br>Mem: 97M Active, 368M Inact, 101M Wired, 184K Cache, 112M Buf, 1394M Free<br>Swap: 4096M Total, 4096M Free<br><br> PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND<br> 1477 root 1 26 0 9776K 2492K select 1 7:28 9.47% natd<br> 1807 root 1 21 0 11296K 2572K select 1 https://www.opennet.dev/openforum/vsluhforumID1/95491.html#1 Thu, 13 Mar 2014 09:24:44 GMT &gt; FreeBSD 9.0 - шлюз в инет. Сетка около 100 пользователей. Прокси - <br>&gt; Squid, что-то закрыто\открыто файрволлом IPFW, pure-ftpd с обменами мелкими файликами. <br>&gt; Канал в инет 20 Мбит/с.<br>&gt; С недавнего времени канал начал чем-то забиваться. Пинг на шлюз провайдера идет <br>&gt; с 50% потерей пакетов. Провайдер говорит, что трафик поднимается до 40-60 <br>&gt; Мбит. TCPtrack показывает скорость на обоих интерфейсах стабильно 1-2 Мбита. В <br>&gt; итоге помогает только перегрузка сервака и только часа на 3-4, после <br>&gt; чего ситуация возвращается в прежнее русло.<br>&gt; Есть какие-нибудь еще варианты отслеживания, что может забивать канал?<br><br>использовать tcpdump, trafshow, wireshark<br><br>давайте сюда, всё равно попросят ))<br>uname -a<br>top<br>netstat -nid<br><br><br><br><br><br>