Toon posts:

[clarkconnect]Ineens traffic, pc's staan uit.

Pagina: 1
Acties:

zondag 2 februari 2003 00:34

Acties:
  • Hurricane
  • Registratie: April 2000
  • Laatst online: 20-02 14:57

Hurricane

Alles is anders dan het lijkt!

Topicstarter
Heb nu een tijdje Clarkconnect 1.1 draaien maar vanaf afgelopen nacht rond 2.20 uur heb ik ineens een traffic load van 10K downstream.
Afbeeldingslocatie: http://213.51.220.159:3322/temp/internet-day.png

Er lopen geen cron jobs rond die tijd, alleen vanaf 4 uur snachts.
Heb alle services al een keer restart vanuit de webinterface.
Heb de eth-0 al eens gereset en ook al eens de modem.
Alle pc's in het netwerk staan uit. (server dus niet)

De server zelf nog niet opnieuw opgestart omdat ik uit wil vinden wat er aan de hand is.

Heb er geen last van dat er ineens met 10K/s data bij de server binnenkomt, maar vindt het wel erg vreemd.

Iemand van jullie misschien een idee hoe ik verder kan zoeken naar het probleem van die load?

zondag 2 februari 2003 01:35

Acties:

Verwijderd

zit je misschien op irc?
heb je redhat met auto-update?

etc.
misschien kun je dan in de cron voor 3 over 2 's nachts een netstat > /root/netstat.log doen en die hier posten...

//edit fuck ik let niet op, 't is geen linux }:O
dan heb ik er helemaaaal geen verstand van natuurlijk :p

[ Voor 26% gewijzigd door Verwijderd op 02-02-2003 09:49 ]

zondag 2 februari 2003 11:40

Acties:
  • Hurricane
  • Registratie: April 2000
  • Laatst online: 20-02 14:57

Hurricane

Alles is anders dan het lijkt!

Topicstarter
Het is wel gebaseerd op linux. Is dus eigenlijk linux.

Maar wat mij ineens opvalt is dat hij vannacht ineens gestopt is rond 2 uur en rond 4 uur weer is opgestart.
Afbeeldingslocatie: http://213.51.220.159:3322/temp/internet-day2.png

Die pc staat niet op irc en draait ook geen auto-update.

Toch nog maar eens even kijken in de logs of ik nu wat kan vinden.

edit:

Ok. Uit de logs blijkt dat mijn internet verbinding er vannacht gewoon heeft uitgelegen tussen 2 en 4 :) Vandaar dat er toen geen verkeer was.
Maarja dat verklaart nog steeds niet waarom hij maar gegevens blijft ontvangen.

[ Voor 26% gewijzigd door Hurricane op 02-02-2003 12:00 ]

zondag 2 februari 2003 12:26

Acties:
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

Ja , dat kan van alles zijn,
je zou eens in de tcp-pakketjes moeten kijken,
header vertelt je wat voor verkeer het is , welke poort het op
loopt , waar vandaan enz.
Je kunt daarvoor "tcpdump" gebruiken.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

zondag 2 februari 2003 12:52

Acties:
  • Hurricane
  • Registratie: April 2000
  • Laatst online: 20-02 14:57

Hurricane

Alles is anders dan het lijkt!

Topicstarter
kleine dump van wat ik krijg via tcpdump:
Sorry voor de layout..

code:
1
2
3
4
5
6
7
8

12:48:41.140846 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0x5d60 flags:0x8000 Y:10.210.82.96 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:20:5d:60 [|bootp]
12:48:41.144565 co292969-a.4256 > proxy1.zwoll1.ov.nl.home.com.domain:  5587+ PTR? 96.82.210.10.in-addr.arpa. (43) (DF)
12:48:41.145278 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0x7196 flags:0x8000 Y:10.210.80.203 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:1e:71:96 [|bootp]
12:48:41.150795 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0xffff80b2 flags:0x8000 Y:10.210.84.128 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:45:80:b2 [|bootp]
12:48:41.159953 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0x5d60 flags:0x8000 Y:10.210.82.96 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:20:5d:60 [|bootp]
12:48:41.202229 arp who-has co294952-a.almel1.ov.home.nl tell ubr1-ca3-0-sec.almel1.ov.home.nl
12:48:41.219377 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0xffffe6b0 flags:0x8000 Y:10.210.82.135 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:1e:e6:b0 [|bootp]
12:48:41.248379 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0xffff88c4 flags:0x8000 Y:10.210.82.180 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:1f:88:c4 [|bootp]


Waar moet ik zo naar kijken.?

zondag 2 februari 2003 13:03

Acties:
  • SambalBij
  • Registratie: September 2000
  • Laatst online: 21-02 20:33

SambalBij

We're all MAD here

code:
1

12:48:41.145278 10.210.80.1.bootps > 255.255.255.255.bootpc:  xid:0x7196 flags:0x8000 Y:10.210.80.203 S:lh1.rdc1.ov.nl.home.com G:10.210.80.1 ether 0:8:e:1e:71:96 [|bootp]

Je ontvangt een zooi bootp (voorloper van DHCP) broadcast pakketjes vanaf ip adres 10.210.80.1.
Je zou de @home helpdesk eens kunnen bellen wat er aan de hand is. Het lijkt vanaf de buitenkant te komen, maar IP adressen in de 10.0.0.0/8 reeks horen helemaal niet op internet thuis.

Sometimes you just have to sit back, relax, and let the train wreck itself

zondag 2 februari 2003 13:05

Acties:
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

Uhm , dat lijkt icmp verkeer te zijn , lijkt op dhcp vanaf internet.
Dat hoort volgens mij niet bij jouw server aan te komen,
kan het zijn dat je provider een foutje heeft gemaakt met een of andere
router config..... :?
Hoe hangt dat spul aan het internet ?
Het is in ieder geval niet 1 machine waar het vandaan komt, maar meerdere....

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

zondag 2 februari 2003 13:08

Acties:
  • SambalBij
  • Registratie: September 2000
  • Laatst online: 21-02 20:33

SambalBij

We're all MAD here

Misschien heeft de buurman in zijn onwetendheid een dhcp server met een rfc1918 adres aan het net gehangen??

Sometimes you just have to sit back, relax, and let the train wreck itself

zondag 2 februari 2003 13:48

Acties:
  • Hurricane
  • Registratie: April 2000
  • Laatst online: 20-02 14:57

Hurricane

Alles is anders dan het lijkt!

Topicstarter
Heb net even de helpdesk gebeld.
Die vent aan de andere kant snapte er niet veel van maar heeft veel gegevens overgenomen en zou het doorsturen naar amsterdam om te kijken of ze er daar wel wat mee konden en gingen doen.
Ben benieuwt of ze er wat mee doen.
Is dit:
code:
1

ether 0:8:e:1f:88:c4 [|bootp]

trouwens het mac adres van de andere modem die dit "aanricht"?

dinsdag 20 januari 2004 23:46

Acties:
  • -=Sentinel=-
  • Registratie: Februari 2001
  • Laatst online: 03-01 00:22

-=Sentinel=-

*zucht...*

Ik weet dat dit topic al behoorlijk oud is, maar ik krijg hetzelfde ipadres nu ook in mijn firewall-logs te staan. Is hier iets meer bekent over?

Ashes to ashes, dust to dust... Rest in peace dear AMD 1800+... MAAR IK HEB NU WEL EEN MOOIE SLEUTELHANGER!!!

woensdag 21 januari 2004 00:13

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 15:07

_JGC_

Je modem is een semi-transparante bridge, grote kans dat je modem dit IP heeft.

woensdag 21 januari 2004 11:29

Acties:
  • -=Sentinel=-
  • Registratie: Februari 2001
  • Laatst online: 03-01 00:22

-=Sentinel=-

*zucht...*

Als dit mijn modem is, dan is het wel raar dat andere mensen hetzelfde ip-adres hebben?
Ik bel wel ff met de helpdesk, het is iets bekends lijkt me...

Ashes to ashes, dust to dust... Rest in peace dear AMD 1800+... MAAR IK HEB NU WEL EEN MOOIE SLEUTELHANGER!!!

woensdag 21 januari 2004 12:05

Acties:
  • Hurricane
  • Registratie: April 2000
  • Laatst online: 20-02 14:57

Hurricane

Alles is anders dan het lijkt!

Topicstarter
Heb er niets meer over gehoord trouwens. Zit nu bij Demon dus verwacht er ook niets meer van.

woensdag 21 januari 2004 12:35

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 22-02 22:40

Wilke

Sentinel78 schreef op 21 januari 2004 @ 11:29:
Als dit mijn modem is, dan is het wel raar dat andere mensen hetzelfde ip-adres hebben?
Nee, want het is een intern IP op een interne interface dus het boeit totaal niet dat iedereen hetzelfde IP heeft (is zelfs zeer waarschijnlijk, default-instelling enzo).

Wel vreemd is dat dat ding schijnbaar 'ineens' denkt die bootp pakketjes te moeten sturen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq