NETSTAT

[Ing. Pavel PaJaSoft Janousek]

Milan Kerslager wrote:
> 
> On Thu, 1 Nov 2001 outbound na centrum.cz wrote:
> 
> > > > Sice tomu nerozumim, ale prave socket is waiting AFTER close mi
> > > > pripada, ze je to to, co je popsano nahore (po uzavreni socketu
> > > > zustava... Z duvodu potvrzeni [handle packets still in the network]
> > > >
> > > > Nebo se pletu ?
> > >
> > >     Myslim, ze se pletete, prave to 'packets still in the
> > > network' jsou pakety, ktere protistrana _mohla_ poslat behem
> > > me zadosti o ukonceni. Oboustrane potvrzovani zavreni spojeni
> >
> > Dobra a jak to cislo tedy snizit ?
> 
> /proc/sys/net/ipv4/tcp_fin_timeout

	Tentokrat asi Milan necetl poradne (to neni utok!), tato hodnota
(default IMHO 180 => 3 minuty) rika jak dlouho se ma nechat socket ve
stavu FIN_WAIT nez protistrana potvrdi zavreni - TCP totiz toto jaxi
opomnelo - ze by se jedna strana tohoto potvrzeni jaxi nemusela
__vubec__ dockat (napr. primitivni DoS utok, dnes uz pomerne neucinny).
Proto se v novejsich OS implementuje tzv. time-out, ktery ceka na
potvrzeni jen urcitou dobu a pote se semantika rovna tomu jako by
potvrzeni drazilo.

	Na TIME_WAIT kernel 2.2.X IMHO zadny parametr nema, 2.4.X mozna ano,
nejsem v tom kovany (doporucuji serial na www.root.cz o /proc FS),
nedovedu si vsak predstavit, co by se melo 'limitovat' k tomuto stavu,
resp. jakym mechanismem rici, ze neco zacina hnit...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------