Treason uncloaked - utok??

Zdik Kudrle xkudrle na fi.muni.cz
Středa Srpen 25 01:43:21 CEST 2004


Dobry den,

mam nasledujici problem na jednom serveru, ktery spravuji:

Poslednich nekolik dni se stava, ze totalne dojde pamet - je ji tam 1GB,
coz neni malo, ale taky extra moc. Ve spicce na serveru bezi bratru 250
apache procesu a vse je OK. Pri poslednim 'padu', ktery spociva v tom, ze
masina je pingnutelna, ale odezva na terminal je 1 znak/3 minuty se mi
podarilo vypsat procesy. A svete div se - bezelo tam 15 apachu se zcela
normalne alokovanou pameti (VSZ 100MB/RSS 30MB), avsak z $ free vyslo
najevo, ze vsechna pamet je 'v cudu' (tzn. swap full na max, pamet to
stejne).

Po prozkoumavani logu jsem nasel par pripadu nasledujici hlasky:

TCP: Treason uncloaked! Peer 200.80.23.2:4596/80 shrinks window
1193678394:1193679854. Repaired.

IP adresa neni vzdy stejna, ale port 80 ano.

Po hodince Googlovani jsem zjistil, co to ve skutecnosti znamena. Co
jsem pochopil, jde o to, ze protejsi peer se snazi zmensit TCP/IP okno na
0, cimz se zacnou plnit kernel buffery na odesilatelovi (pokud se mylim,
tak mne opravte). Nekdy se toto stava diky spatnemu (staremu) TCP/IP
stacku na peerovi nebo pri spatnem shapingu. V nekterych postech o teto
hlasce vsak byla naznacena moznost, ze by se takhle mohl podarit DoS utok.
Mam takovy prihlouply pocit, ze ja jsem ten pripad. Nestalo se vam nekdy
neco podobneho?

Predem diky za jakekoli postrehy

--ZK


--=[ Zdik Kudrle ]=------------------------------------------------------
 comp: Penguin.PHP.SQL                  mailto:xkudrle na fi.muni.cz
 misc: music.philo.1984			  http://www.fi.muni.cz/~xkudrle
----------[ The Spice extends life, the Spice expands consciousness ]----


Další informace o konferenci Linux