printk: 1 messages suppressed. und kernel: TCP: Treason uncloaked! Peer

[Anonymous]

Guten Abend,

Ich habe in letzter Zeit mehre merkwürdige Log Einträge im messages Log und im warn log gefunden.

messages Auszug:

Code: Select all

Jan  4 23:03:01 * kernel: printk: 1 messages suppressed.
Jan  4 23:03:01 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2863943461:2863944913. Repaired.
Jan  4 23:03:07 * kernel: printk: 2 messages suppressed.
Jan  4 23:03:07 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864007349:2864010253. Repaired.
Jan  4 23:03:12 * kernel: printk: 3 messages suppressed.
Jan  4 23:03:12 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864069785:2864074141. Repaired.
Jan  4 23:03:17 * kernel: printk: 4 messages suppressed.
Jan  4 23:03:17 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864139481:2864143837. Repaired.
Jan  4 23:03:21 * kernel: printk: 3 messages suppressed.
Jan  4 23:03:21 * kernel: TCP: Treason uncloaked! Peer 84.9.37.113:63491/13000 shrinks window 2673474114:2673479814. Repaired.
Jan  4 23:03:26 * kernel: printk: 2 messages suppressed.
Jan  4 23:03:26 * kernel: TCP: Treason uncloaked! Peer 84.9.37.113:63491/13000 shrinks window 2673539649:2673544054. Repaired.
Jan  4 23:03:31 * kernel: printk: 5 messages suppressed.
Jan  4 23:03:31 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864293393:2864299201. Repaired.
Jan  4 23:03:37 * kernel: printk: 3 messages suppressed.
Jan  4 23:03:37 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864361637:2864367445. Repaired.
Jan  4 23:03:42 * kernel: printk: 1 messages suppressed.
Jan  4 23:03:42 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864426977:2864434237. Repaired.
Jan  4 23:03:47 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864496673:2864498125. Repaired.
Jan  4 23:03:51 * kernel: printk: 2 messages suppressed.
Jan  4 23:03:51 * kernel: TCP: Treason uncloaked! Peer 84.9.37.113:63491/13000 shrinks window 2673867324:2673868174. Repaired.
Jan  4 23:03:56 * kernel: printk: 5 messages suppressed.
Jan  4 23:03:56 * kernel: TCP: Treason uncloaked! Peer 84.177.228.121:2289/13000 shrinks window 2864609929:2864617189. Repaired.

Auszug aus dem warn log:

Code: Select all

Jan  5 00:05:49 * kernel: printk: 1 messages suppressed.
Jan  5 00:06:16 * kernel: printk: 1 messages suppressed.
Jan  5 00:06:22 * kernel: printk: 2 messages suppressed.
Jan  5 00:06:29 * kernel: printk: 2 messages suppressed.
Jan  5 00:06:37 * kernel: printk: 1 messages suppressed.
Jan  5 00:06:42 * kernel: printk: 2 messages suppressed.
Jan  5 00:06:51 * kernel: printk: 1 messages suppressed.
Jan  5 00:06:56 * kernel: printk: 1 messages suppressed.
Jan  5 00:07:05 * kernel: printk: 3 messages suppressed.
Jan  5 00:07:11 * kernel: printk: 1 messages suppressed.

Auf dem Port 13000 läuft ein Stream Server.

Ich habe pro Tag ca. 100 Einträge in beiden Logs von unterschiedlichen ips meistens aber von der Deutschen Telekom.

Ich habe gelesen das es Anzeichen sein können für einen DDOS Angriff, gibt es noch andere Ursachen für diese Meldungen ?

[Roger Wilco]

Ich würde eher auf einen kaputten Router bei diesem T-Online-Kunden tippen. Für einen DDoS-Angriff wäre das eine ganz schön bescheidene Bandbreite, wenn man mal die Häufigkeit der Meldung in den Logs beachtet.

Die Meldungen "kernel: printk: X messages suppressed." heißen einfach nur, dass die vorangegangene Nachricht im gleichen Wortlaut noch X mal gekommen wäre. Identische Nachrichten, die direkt aufeinanderfolgen werden unterdrückt.

[Anonymous]

Danke erstmal für deine Antwort. :-D

hm was ich noch hinzufügen wollte das öfters der Stream Server ausfällt.

Top sagt auch das eine hohe Belastung auf denn Stream Server zurückzuführen ist, zudem ist es nicht immer ein T-Online Kunde.

[eof__]

eher spaet:

>From /usr/src/linux/net/ipv4/tcp_timer.c:

if (tp->snd_wnd == 0 && !sk->dead &&
!((1<<sk->state)& TCPF_SYN_SENT|TCPF_SYN_RECV))) {
/* Receiver dastardly shrinks window. Our retransmits
* become zero probes, but we should not timeout this
* connection. If the socket is an orphan, time it out,
* we cannot allow such beasts to hang infinitely.
*/

#ifdef TCP_DEBUG

if (net_ratelimit())
printk(KERN_DEBUG "TCP: Treason uncloaked! Peer
%u.%u.%u.%u:%u/%u shrinks window %u:%u. Repaired.n",
NIPQUAD(sk->daddr), htons(sk->dport), sk->num, tp->snd_una, tp->snd_nxt);

#endif

So it appears that someone is running some sort of "tar-pit" system that is designed to keep sockets in a bad state and run you out of kernel memory.

Maybe you should tell your ISP that they are to blame for such actions being done to you and that they should give you face(I think that was the term you used) by closing their open relays.

Someone who's doing the tar-pit attack would probably like your box to crash, but I'd hope that Linux can withstand such things, and there is special-case code in there to deal with it.

Ich haette auf nachtraegliche PMTU getippt.

Greetz
eof__