#Wichtig!# Netzwerk Probleme

[froschlein]

Hallo,

ich habe folgendes Problem:
Manchmal schaltet sich meine eth ab.
Ich kann den Server zwar Pingen, aber ich komme nicht (z.B) über http oder ssh drauf.
folgendes steht in meiner Kern Log:

Jan 20 22:15:25 Kristina kernel: device eth0 left promiscuous mode
Jan 20 22:15:25 Kristina kernel: audit(1232486125.937:5): dev=eth0 prom=0 old_prom=256 auid=4294967295
Jan 20 22:15:25 Kristina kernel: device eth0 entered promiscuous mode
Jan 20 22:15:25 Kristina kernel: audit(1232486125.977:6): dev=eth0 prom=256 old_prom=0 auid=4294967295
Jan 21 20:22:47 Kristina kernel: TCP: Treason uncloaked! Peer 87.146.77.7:61534/80 shrinks window 3600213871:3600227299. Repaired.
Jan 21 22:30:04 Kristina kernel: TCP: Treason uncloaked! Peer 84.149.86.30:2867/80 shrinks window 3075721501:3075726908. Repaired.
Jan 22 21:16:19 Kristina kernel: TCP: Treason uncloaked! Peer 84.149.122.5:2723/80 shrinks window 3747091113:3747091525. Repaired.
Jan 22 22:07:01 Kristina kernel: TCP: Treason uncloaked! Peer 84.149.122.5:3915/80 shrinks window 2663236349:2663240477. Repaired.

Ich habe das gefühl das "promiscuous" was damit zu tun hat. Aber wie schalte ich das ganze entgültig ab?
Und, was bedeuten die TCP Logs?

Nein es läuft kein Snort.

[freddy36]

Mit promiscuous mode hat das nichts zutun.

Kann einfach nur ein Client mit fehlerhaften TCP Stack sein oder auch eine Tar-Pit Angriffs Versuch.
Abschalten kannst du es mit:

Code: Select all

echo 0 > /proc/sys/net/ipv4/tcp_window_scaling

[froschlein]

Es ist halt so, dass ich einen Techniker zum Server geschickt habe, als dieser wieder mal "halb" zu erreichen gewesen ist.
Der Techniker hat hat dann "ifup eth0" eingegben und schon ging es wieder.
Er hatte mich auch auf den promiscious Mode angesprochen.

Ich kann mit einem halb erreichbaren Server wenig anfangen^^

[freddy36]

Was machst du den da das du promiscuous mode brauchst? Ist eigentlich nur selten nötig und aktiviert sich nicht von alleine.
tcp_window_scaling kannst du auch deaktivieren, dann hat der Kernel minimal weniger zu tun.

[oxygen]

hast wahrscheinlich tcpdump gestartet oder?

[froschlein]

Nein ich habe tcpdump nicht gestartet und ich brauche promiscuous mode nicht - WIE Deaktiviere ich beides?
> Und Nein so wie es aussieht ist die kiste nicht gehackt.
****************
Gestern um 6 Uhr hat sich der Server einfach restartet.
Heuet hat war es dann wieder der fall.

[froschlein]

Und wieder war der Server nur anpingbar, SSH etc. funktionierte nicht.

[Joe User]

IPTraf, VMWare oder ähnliche Software installiert?

Code: Select all

ifconfig eth0  -promisc

[froschlein]

Linux-VServer
-

ifconfig eth0 -promisc habe ich schonmal eingegeben.

[froschlein]

Welche "log"-Datein sind wichtig, um herraus zu finden was dem Server fehlt?
Der Server stürzt a.) Ständig ab und b.) Ist ständig nicht erreichbar..

[Joe User]

Wichtig wäre zunächst mal zu wissen, welche vom Providerimage abweichende Software Du installiert hast.
Logfiles sind alle relevant, was aber nicht bedeutet, dass Du jetzt wild Logs posten sollst.
Da es Dein System ist, weisst Du ja wie die Logs vor dem Problem ausgesehen haben und suchst bitte nur die offensichtlichen Unterschiede zu jetzt. Diese Unterschiede kannst Du dann von Duplikaten bereinigt posten.
Alles andere wäre dann wieder Stochern im Nebel...

[froschlein]

Wichtig wäre zunächst mal zu wissen, welche vom Providerimage abweichende Software Du installiert hast.

Debian 64bit. (Standart von CD)

Da es Dein System ist, weisst Du ja wie die Logs vor dem Problem ausgesehen haben und suchst bitte nur die offensichtlichen Unterschiede zu jetzt.
Diese Unterschiede kannst Du dann von Duplikaten bereinigt posten.
Alles andere wäre dann wieder Stochern im Nebel...

Aber welche Logs sind wichtig?

[froschlein]

Es wird nun eine neue Nic eingebaut.