regional-pl: wysoki load

Subject: wysoki load
To: None <regional-pl@netbsd.org>
From: jasiu <jasiu@tool.eu.org>
List: regional-pl
Date: 05/13/2004 22:27:37
witajcie,
jest pewien problem, najprawdopodobniej ma to związek z wirusami powodującymi
ataki DoS, ale dokładnie:

jest sobie router firewall/nat, PII500 chodzący stabilnie pod NteBSD-1.6.2-S
od pewnego czasu mają miejsce dziwne akcje, b. wysoki load - uniemożliwiający
zalogowanie się do serwera i pracę działających na nim usług.
po odpięciu wtyczki od LAN-u wszystko wraca do normy po ponownym wpięciu za
jakiś (dość ktrótki) czas objawy wracają.

przykład:

load averages:  3.51,  1.11,  0.45                                     20:33:21
37 processes:  11 runnable, 25 sleeping, 1 on processor
CPU states:  0.1% user,  0.0% nice, 95.5% system,  4.4% interrupt,  0.0% idle
Memory: 45M Act, 292K Wired, 7280K Exec, 8808K File, 377M Free
Swap: 769M Total, 769M Free

  PID USERNAME PRI NICE   SIZE   RES STATE      TIME   WCPU    CPU COMMAND
  124 root      44    0  1892K 1892K RUN        1:29 200.98% 200.98% named
  323 root      59    0    64K  440K RUN        0:38 615.29% 181.88% rateup
  324 root      51    0   300K 1264K RUN        0:34 1092.48% 152.34% rateup
  266 jasiu     55    0   216K  880K RUN        0:27 118.75% 118.75% top
  299 jasiu     38    0   196K  860K CPU        0:22 69.34% 69.29% top
  311 root      45    0   972K 1480K RUN        0:18 119.84% 63.28% perl
  314 root      48    0  1040K 1540K RUN        0:07 48.07% 24.22% perl
  306 root      -6    0   252K  648K piperd     0:00  1.39%  0.73% cron
    4 root      18    0     0K   20M RUN        0:00  0.00%  0.00% [ioflush]
  254 root      10    0   236K  644K RUN        0:00  0.00%  0.00% cron
  128 root       2    0   156K  732K RUN        0:00  0.00%  0.00% rpcbind
  155 root       2    0   108K  688K RUN        0:00  0.00%  0.00% mountd
  308 root       2    0   140K  632K RUN        0:00  0.00%  0.00% fping
  294 jasiu     18    0   856K 1364K pause      0:00  0.00%  0.00% tcsh
  259 jasiu     18    0   856K 1356K pause      0:00  0.00%  0.00% tcsh
  187 root      10    0  6348K 5212K nanoslee   0:00  0.00%  0.00% perl
  313 root      10    0   480K  316K wait       0:00  0.00%  0.00% sh

jeżeli były włączone inne demony: httpd, oidentd, squid zachowywały się
podobnie. serwer nie pada całkowicie, po odpięciu wtyczki gdy wszystko
"rusza" spowrotem widać load avg 40.0 50.0 60.0

testowałem zachowanie się FreeBSD 4.9 stable i przy genericu nie widzę aż
takich skutków, jedynie wysoki interupt - około 70%.

sieciówki to ep i fxp i nigdy nie było z nimi problemu - są sprawne.

co i jak ustawić by nie dopuscić to dakiego obciążenia systemu pakietami z
zew., jeżeli chodzi o skanowania itp. to portsentry na nic się zdało.

pozdr.


-- 
jasiu