dropwatch - pouzitelnost
Dalibor Toman
dtoman na fortech.cz
Středa Září 16 10:18:03 CEST 2015
DD,
On 9/15/2015 5:40 PM, Pavel Kankovsky wrote:
> On Fri, 11 Sep 2015, Dalibor Toman wrote:
>
>> 12582 drops at tpacket_rcv+76 (0xffffffff8150ddd6)
>
> tpacket_rcv je v af_packet.c a podle toho později dodaného assembleru
> to vypadá, že jsou to pakety zahozené podle některé z následujících
> podmínek (asi to neopisuju ze správné verze zdrojáků, tak tolerujte
> případné nepodstatné odchylky, prosím):
>
> (skb->pkt_type == PACKET_LOOPBACK)
> (!net_eq(dev_net(dev), sock_net(sk)))
>
> Z toho soudím, že tpacket_rcv je falešná stopa, protože se jedná o
> naprosto legitimní důvody, proč zanechat dalšího zpracování paketu.
ano, udelal jsem stejny zaver. Nesedi ani indikovane pocty packetu a
tpacket_rcv v techhle mistech ani neinkrementuje tx_dropped
> (A propos: to, že se to na tomto místě chytá, znamená, že Vám na
> systému běží něco, co odchytává pakety přes PF_PACKET.)
to je zajimava informace i kdyz mi zrovna neni jasne, proc by se po
prepnuti sitovek do promiskuitniho modu mela nektera z tech podminek
uplatnit. Na tom routeru skutecne bezi nad jednim ze 2 bondu aplikace,
ktere odchytavaji pakety (arpwatch a kolektor pro data retention) a po
jejich zastaveni dropy reportovane v tpacket_rcv skutecne zmizi.
> Ta další zahazovací místa by mohla být zajímavější.
ano. Jen se musim trefit do chvile, kdy se tech dropu (zvysujicich
tx_dropped) zacne zase objevovat vetsi mnozstvi. Jinak je jich moc malo.
Diky
--
Dalibor Toman
Další informace o konferenci Linux