dropwatch - pouzitelnost

Dalibor Toman dtoman na fortech.cz
Středa Září 16 10:18:03 CEST 2015


DD,


On 9/15/2015 5:40 PM, Pavel Kankovsky wrote:
> On Fri, 11 Sep 2015, Dalibor Toman wrote:
>
>> 12582 drops at tpacket_rcv+76 (0xffffffff8150ddd6)
>
> tpacket_rcv je v af_packet.c a podle toho později dodaného assembleru 
> to vypadá, že jsou to pakety zahozené podle některé z následujících 
> podmínek (asi to neopisuju ze správné verze zdrojáků, tak tolerujte 
> případné nepodstatné odchylky, prosím):
>
>          (skb->pkt_type == PACKET_LOOPBACK)
>          (!net_eq(dev_net(dev), sock_net(sk)))
>
> Z toho soudím, že tpacket_rcv je falešná stopa, protože se jedná o 
> naprosto legitimní důvody, proč zanechat dalšího zpracování paketu.
ano, udelal jsem stejny zaver. Nesedi ani indikovane pocty packetu a 
tpacket_rcv v techhle mistech ani neinkrementuje tx_dropped

> (A propos: to, že se to na tomto místě chytá, znamená, že Vám na 
> systému běží něco, co odchytává pakety přes PF_PACKET.)
to je zajimava informace i kdyz mi zrovna neni jasne, proc by se po 
prepnuti sitovek do promiskuitniho modu mela nektera z tech podminek 
uplatnit. Na tom routeru skutecne bezi nad jednim ze 2 bondu aplikace, 
ktere odchytavaji pakety (arpwatch a kolektor pro data retention) a po 
jejich zastaveni dropy reportovane v tpacket_rcv skutecne zmizi.

> Ta další zahazovací místa by mohla být zajímavější.
ano. Jen se musim trefit do chvile, kdy se tech dropu (zvysujicich 
tx_dropped) zacne zase objevovat vetsi mnozstvi. Jinak je jich moc malo.


Diky

-- 
Dalibor Toman



Další informace o konferenci Linux