Изпечатай

[ultraboby]

При работещ pppoe-server в системния лог се появяват  съобщения които водят до претоварване на самата машина , ако някой е срещал подобни съобщения да сподели. Ето и част от лог-а:

pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A2:3E:4B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:96:8F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:86:2B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:DA:6B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:11:D8:8F:13:47; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:BC:AD; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:D7:CB; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:62:5D; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:6A:2F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:53:45:00:00:00; should be from 00:E0:4C:04:C4:EC

[foxb]

Аз като клиент, често имах тези съобщения в лога на рутера.

Преди време четох, че май има накаква атака към АТМ мрежата, но беше преди няколко години, та не помня къде.

[gat3way]

Възможно е. Сега хвърлих едно око на RFC-то, там пише че PADT пакетите служат за затваряне на сесията. Единственото, което валидира нещата е номера на сесията и сорс адреса. Така че предполагам ако и двата са правилни, сесията ще бъде терминирана. Тъй като не е сложно да се подправя мак адрес, това ми се вижда като малоумен начин да се разкачат сесии. Чудно ми е защо са го направили след като капсулирания PPP си има собствени методи за преустановяване на връзката.

[dobrichkia]

При работещ pppoe-server в системния лог се появяват  съобщения които водят до претоварване на самата машина , ако някой е срещал подобни съобщения да сподели. Ето и част от лог-а:

pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A2:3E:4B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:96:8F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:86:2B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:DA:6B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:11:D8:8F:13:47; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:BC:AD; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:D7:CB; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:62:5D; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:6A:2F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:53:45:00:00:00; should be from 00:E0:4C:04:C4:EC

Не разбрах решихте ли си проблема?
mail: ilia@sharcom.org

[tarball]

     
07/17/2009  09:50:41 PPPoE receive PADT       
07/17/2009  09:50:40 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:38 PPPoE receive PADT       
07/17/2009  09:50:37 PPPoE receive PADT       
07/17/2009  09:50:36 PPPoE receive PADT       
07/17/2009  09:50:36 PPPoE receive PADT       
07/17/2009  09:50:35 PPPoE receive PADT       
07/17/2009  09:50:35 PPPoE receive PADT       
07/17/2009  09:50:33 PPPoE receive PADT       
07/17/2009  09:50:33 PPPoE receive PADT       
07/17/2009  09:50:33 PPPoE receive PADT       
07/17/2009  09:50:32 PPPoE receive PADT       
07/17/2009  09:50:31 PPPoE receive PADT       
07/17/2009  09:50:31 PPPoE receive PADT       
07/17/2009  09:50:30 PPPoE receive PADT       
07/17/2009  09:50:30 PPPoE receive PADT       

И т.н. до безкрай.Това са логове от рутера ми,който в момента ползвам(Белкин),защото поради силна буря ми изгърмя бъфалото.В момента нямам възможност да си закупя пак бъфало и ползвам тоягите на Belkin.Интересното е,че тия неща в логовете не ми създават по никакъв начин проблем и не ми се разкача нета.Скоростта ми е постоянна и няма падове.Просто всичко си е ок,но тези съобщения колкото и да се правя,че не виждам ми се струва,че не е редно да се появяват.Преди с бъфалото не е имало и помен от този PADT,PADO,PADI и т.н.Ще се радвам ако някой ми помогне с по-подробно инфо относно това и евентуално как да се спре.

[dobrichkia]

Лошото е че аз съм доставчик и имам няколко десетки такива в мрежата и съм се видял в чудо.

[tarball]

Лошото е че аз съм доставчик и имам няколко десетки такива в мрежата и съм се видял в чудо.

Искаш да кажеш,че проблема е в рутъра ли?Поне можеш ли да кажеш от какво аджеба се получава.Опитах каквото съветват по нета,но при мен не помага.В едни случаи е от NTP server,който сверява часовника на рутъра,при други е от опция наречена block icmp ping.Махнах отметката от него и пак продължава проблема.Трети вариант е когато е написано нещо при настройките на pppoe-то в полето service name.Там специално нямам нищо писано,но пак продължава проблема.Засега решение нямам!

[shadowx]

можеби, компютри с прозорчета , заразени с confick /или както се казваше вируса/ , пращат PADT пакети с random session id ...

[dobrichkia]

можеби, компютри с прозорчета , заразени с confick /или както се казваше вируса/ , пращат PADT пакети с random session id ...

PPP си има кръпка за тази цел, таке че няма да те разкачи заради някакъв си вирус или скапан рутер като DL-524.

Също така искам да кажа че тези рутери лъчат с тези пакети

^{pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A2:3E:4B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:96:8F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:86:2B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:DA:6B; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:11:D8:8F:13:47; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A1:BC:AD; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:22:B0:A3:D7:CB; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:62:5D; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:1A:70:9D:6A:2F; should be from 00:E0:4C:04:C4:EC
 pppoe-server[4749]: PADT for session 173 received from 00:53:45:00:00:00; should be from 00:E0:4C:04:C4:EC}

Въпреки че в техния статус показват че са ги приели а не изпрати ли!
В моята мрежа останаха само 20 такива така че съм по-спокоен вече, въпреки че ми е любопитно да разбера какво ги кара от време на време да лъчат такива пакети към ppp терминалите ми.

Също така искам да кажа че те не ми товарят pppd а по-скоро syslog-ng, но за целта правя следното:

Редактирам rp-pppoe-3.8/src/pppoe-server.c коментирайки следните редове:712-727

    ^{if (memcmp(packet->ethHdr.h_source, Sessions.eth, ETH_ALEN)) {
//      syslog(LOG_WARNING, "PADT for session %u received from "
//             "%02X:%02X:%02X:%02X:%02X:%02X; should be from "
//             "%02X:%02X:%02X:%02X:%02X:%02X",
//             (unsigned int) ntohs(packet->session),
//             packet->ethHdr.h_source[0],
//             packet->ethHdr.h_source[1],
//             packet->ethHdr.h_source[2],
//             packet->ethHdr.h_source[3],
//             packet->ethHdr.h_source[4],
//             packet->ethHdr.h_source[5],
//             Sessions.eth[0],
//             Sessions.eth[1],
//             Sessions.eth[2],
//             Sessions.eth[3],
//             Sessions.eth[4],
//             Sessions.eth[5]);
        return;
    }}

и компилирам на ново. Идеята ми е да спра подаването на тази грешка от rp-pppoe към syslog-ng, защото тези скапани рутери от време на време ми товарят лога (за 24h с около 25GB лог файл) и в същия момент процесора ми се  натоварва с около 50-70% от syslog-ng!

[ultraboby]

Има ли ефект от компилирането, защото по принцип и pppd се "товари" ?

[dobrichkia]

Има ли ефект от компилирането, защото по принцип и pppd се "товари" ?

Разбира се че има, та нали натоварването на процесора ми падна под 5 %, а иначе не падаше под 50%, разлика от небето до земята. Но ме интересува какво ги предизвиква тези рутери да лъчат "PADT" пакети към ppp терминалите?