Linux за българи: Форуми

При работещ pppoe-server в системния лог се появяват  съобщения които водят до претоварване на самата машина , ако някой е срещал подобни съобщения да сподели. Ето и част от лог-а:

pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A2:3E:4B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:96:8F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:86:2B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:DA:6B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:11:D8:8F:13:47; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:BC:AD; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:D7:CB; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:62:5D; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:6A:2F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:53:45:00:00:00; should be from 00:E0:4C:04:C4:EC

Аз като клиент, често имах тези съобщения в лога на рутера.

Преди време четох, че май има накаква атака към АТМ мрежата, но беше преди няколко години, та не помня къде.

Възможно е. Сега хвърлих едно око на RFC-то, там пише че PADT пакетите служат за затваряне на сесията. Единственото, което валидира нещата е номера на сесията и сорс адреса. Така че предполагам ако и двата са правилни, сесията ще бъде терминирана. Тъй като не е сложно да се подправя мак адрес, това ми се вижда като малоумен начин да се разкачат сесии. Чудно ми е защо са го направили след като капсулирания PPP си има собствени методи за преустановяване на връзката.

При работещ pppoe-server в системния лог се появяват  съобщения които водят до претоварване на самата машина , ако някой е срещал подобни съобщения да сподели. Ето и част от лог-а:

pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A2:3E:4B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:96:8F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:86:2B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:DA:6B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:11:D8:8F:13:47; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:BC:AD; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:D7:CB; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:62:5D; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:6A:2F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:53:45:00:00:00; should be from 00:E0:4C:04:C4:EC

Не разбрах решихте ли си проблема?
mail: ilia@sharcom.org

     
07/17/2009  09:50:41 PPPoE receive PADT       
07/17/2009  09:50:40 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:37 PPPoE receive PADT       
07/17/2009  09:50:36 PPPoE receive PADT       
07/17/2009  09:50:36 PPPoE receive PADT       
07/17/2009  09:50:35 PPPoE receive PADT       
07/17/2009  09:50:35 PPPoE receive PADT       
07/17/2009  09:50:33 PPPoE receive PADT       
07/17/2009  09:50:33 PPPoE receive PADT       
07/17/2009  09:50:33 PPPoE receive PADT       
07/17/2009  09:50:32 PPPoE receive PADT       
07/17/2009  09:50:31 PPPoE receive PADT       
07/17/2009  09:50:31 PPPoE receive PADT       
07/17/2009  09:50:30 PPPoE receive PADT       
07/17/2009  09:50:30 PPPoE receive PADT       

И т.н. до безкрай.Това са логове от рутера ми,който в момента ползвам(Белкин),защото поради силна буря ми изгърмя бъфалото.В момента нямам възможност да си закупя пак бъфало и ползвам тоягите на Belkin.Интересното е,че тия неща в логовете не ми създават по никакъв начин проблем и не ми се разкача нета.Скоростта ми е постоянна и няма падове.Просто всичко си е ок,но тези съобщения колкото и да се правя,че не виждам ми се струва,че не е редно да се появяват.Преди с бъфалото не е имало и помен от този PADT,PADO,PADI и т.н.Ще се радвам ако някой ми помогне с по-подробно инфо относно това и евентуално как да се спре.

Лошото е че аз съм доставчик и имам няколко десетки такива в мрежата и съм се видял в чудо.

Лошото е че аз съм доставчик и имам няколко десетки такива в мрежата и съм се видял в чудо.

Искаш да кажеш,че проблема е в рутъра ли?Поне можеш ли да кажеш от какво аджеба се получава.Опитах каквото съветват по нета,но при мен не помага.В едни случаи е от NTP server,който сверява часовника на рутъра,при други е от опция наречена block icmp ping.Махнах отметката от него и пак продължава проблема.Трети вариант е когато е написано нещо при настройките на pppoe-то в полето service name.Там специално нямам нищо писано,но пак продължава проблема.Засега решение нямам!

можеби, компютри с прозорчета , заразени с confick /или както се казваше вируса/ , пращат PADT пакети с random session id ...

можеби, компютри с прозорчета , заразени с confick /или както се казваше вируса/ , пращат PADT пакети с random session id ...

PPP си има кръпка за тази цел, таке че няма да те разкачи заради някакъв си вирус или скапан рутер като DL-524.

Също така искам да кажа че тези рутери лъчат с тези пакети

^{pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A2:3E:4B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:96:8F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:86:2B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:DA:6B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:11:D8:8F:13:47; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:BC:AD; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:D7:CB; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:62:5D; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:6A:2F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:53:45:00:00:00; should be from 00:E0:4C:04:C4:EC}

Въпреки че в техния статус показват че са ги приели а не изпрати ли!
В моята мрежа останаха само 20 такива така че съм по-спокоен вече, въпреки че ми е любопитно да разбера какво ги кара от време на време да лъчат такива пакети към ppp терминалите ми.

Също така искам да кажа че те не ми товарят pppd а по-скоро syslog-ng, но за целта правя следното:

Редактирам rp-pppoe-3.8/src/pppoe-server.c коментирайки следните редове:712-727

    ^{if (memcmp(packet->ethHdr.h_source, Sessions.eth, ETH_ALEN)) {
//      syslog(LOG_WARNING, "PADT for session %u received from "
//             "%02X:%02X:%02X:%02X:%02X:%02X; should be from "
//             "%02X:%02X:%02X:%02X:%02X:%02X",
//             (unsigned int) ntohs(packet->session),
//             packet->ethHdr.h_source[0],
//             packet->ethHdr.h_source[1],
//             packet->ethHdr.h_source[2],
//             packet->ethHdr.h_source[3],
//             packet->ethHdr.h_source[4],
//             packet->ethHdr.h_source[5],
//             Sessions.eth[0],
//             Sessions.eth[1],
//             Sessions.eth[2],
//             Sessions.eth[3],
//             Sessions.eth[4],
//             Sessions.eth[5]);
        return;
    }}

и компилирам на ново. Идеята ми е да спра подаването на тази грешка от rp-pppoe към syslog-ng, защото тези скапани рутери от време на време ми товарят лога (за 24h с около 25GB лог файл) и в същия момент процесора ми се  натоварва с около 50-70% от syslog-ng!

Има ли ефект от компилирането, защото по принцип и pppd се "товари" ?

Има ли ефект от компилирането, защото по принцип и pppd се "товари" ?

Разбира се че има, та нали натоварването на процесора ми падна под 5 %, а иначе не падаше под 50%, разлика от небето до земята. Но ме интересува какво ги предизвиква тези рутери да лъчат "PADT" пакети към ppp терминалите?