prerusovane stahovani fbsd5.4/apache2 [tcpdump]
Dan Lukes
dan at obluda.cz
Wed Jul 20 23:12:00 CEST 2005
Divacky Roman wrote:
>> Zajimal me zaver te failujici TCP session - to ze session closed
>> jeste nerika jakym ze zpuzobu (na TCP urovni) byla 'closed' ...
>> Treba se nekdo pokousi rozfungovat transparentni proxy nebo nejaky
>>stavovy firewall ...
>
> je to dost divne.. pac po nejake dobe (a mam nechutny pocit ze to je vzdycky
> chvilku pote co zapnu/vypnu tcpdump) to zacne fungovat normalne...
TCPDUMP by nemel mit vliv na nic, pokud je je pouzit '-p' option. V
opacnem pripade, samozrejme, promiskuitni mod muze ovlivnit beh veci - i
kdyz - v tomto pripade bych to spis neocekaval.
> cely log (ktery zahrnuje nekolik tech zavreni) je na hysteria.sk/~neologism/log
Technicka poznamka:
Textovy LOG ma tu nestastnou vlastnost, ze se nad nim uz tezko pousteji
jakekoliv filtry. Daleko snazsi je analyzovat to, co tcpdump ulozi do
souboru (-w) v binarnim tvaru. Ostatne, kdyz budu chtit tvar textovy, z
binarniho si to prevedu snadno.
Nicmene, k veci. Soustredil jsem se na jednu session (nemam jak poznat,
jestli je to nejaka "failujici" takze budu automaticky predpokladat, ze
ano). Konkretne
r79s17p21.home.nbox.cz.63669 <=> hudson.mzm.cz.http
Ta zacala 10:02:55 a prvni pokus o ukonceni nastal 10:03:04.422655, po
preneseni byte 962930 a ukonceni spojeni inicioval HTTP server.
Pravda je, ze kvuli nejakym poztracenym paketum bylo fakticky spojeni
ze strany uzavreno az 10:03:05.218978 (ktere uz klient obratem potvrdil)
ale to neni pro nasi vec az tak podstatne.
Klicove je, ze 'session closed' vzniklo na zaklade udalosti na siti - a
jevi se, ze na zaklade udalosti na serveru.
Bohuzel, zachyceny LOG podle vseho neobsahuje kompletni zaznam zadne
jine session, tim mene obdobne session s jinym serverem - a na vzorku
velikosti jedna se tezko delaji nejake statisticke analyzy.
V kazdem pripade, ja navrhuji vyzkouset, zda se obobny problem
vyskytuje pri komunikaci s jinymi servery - pokud ne, zameril bych se na
tento konkretni server. Pokud ano, pak zjistit, jestli problem nastava
pri prenosech velkych dat s jakymkoliv severem. Pokud ne, zjistit, co
maji spolecneho ty, se kterymi problem nastava (software, cast sitove
cesty a pod.). Pokud ano, je treba takove spojeni ucinit proti serveru,
nad kterym mam kontriolu alespon takovou, ze na nem mohu spustit tcpdump
take. Oba je pak treba porovnat - tim se zjisti, zda je spojeni skutecne
prime, nebo zda pravdepodobny vyskyt transparentni proxy ci neceho
jineho podobneho po ceste.
No a pak by se dalek postupovalo podle toho, co by se zjistilo ...
Dan
P.S. Pripominam, ze bych rad odkaz na tu zajimavou statistiku, o ktere
jsme mluvili ...
More information about the Users-l
mailing list