jesli to jest wirus i ma go tylko jeden uzytkownik lub jest to
zlosliwosc jakiegos usera to wlacz tcpdumpa i po kolei odlaczaj kable
od switcha. moze znajdziesz winnego :)

05-10-17, wilde <wildeman@op.pl> napisał(a):
> witam mam wielki problem
> moj siec cos zacznyna swirowac, pojawiaja sie przerwy w dostepnie do neta na
> poziomie serwera
> tzn dziala net przez 30min albo godzinke a potem nagle przerwa na 5 albo 10
> min i potem znowu wszystko dziala
> zwrocilem uwage na to ze switch zaczol dziwnie mrugac tak jakby aktywnosc
> wzrosla 300% (oszalal)
> badam logi i mam cos takiego w syslog:
> Oct 17 08:55:22 bolek kernel: Neighbour table overflow.
> Oct 17 08:55:25 bolek kernel: printk: 66 messages suppressed.
> Oct 17 08:55:25 bolek kernel: Neighbour table overflow.
> Oct 17 08:55:30 bolek kernel: printk: 147 messages suppressed.
> Oct 17 08:55:30 bolek kernel: Neighbour table overflow.
> Oct 17 08:55:35 bolek kernel: printk: 147 messages suppressed.
> Oct 17 08:55:35 bolek kernel: Neighbour table overflow.
> Oct 17 08:55:40 bolek kernel: printk: 129 messages suppressed.
> Oct 17 08:55:40 bolek kernel: Neighbour table overflow.
>
> i powtarza sie to juz od 2 dni
> po resetach serera jest to samo nic nie daje , nie jest to tez za mala ilosc
> wpisow ustawiona w tablicach
> bo juz to sprawdzalem i zwiekszylem
> po zapodaniu # tcpdump -vvv -n -i eth0 | grep arp mam tak:
> 8:47:31.462871 arp who-has 10.1.122.67 tell 10.1.14.3
> 08:47:31.562288 arp who-has 10.1.228.185 tell 10.1.14.3
> 08:47:31.562355 arp who-has 10.1.81.174 tell 10.1.14.3
> 08:47:31.662486 arp who-has 10.1.207.5 tell 10.1.14.3
> 08:47:31.662584 arp who-has 10.1.223.103 tell 10.1.14.3
> 08:47:31.662612 arp who-has 10.1.153.46 tell 10.1.14.3
> 08:47:31.662643 arp who-has 10.1.1.92 tell 10.1.14.3
> 08:47:31.762866 arp who-has 10.1.27.16 tell 10.1.14.3
> 08:47:31.863135 arp who-has 10.1.122.86 tell 10.1.14.3
> 08:47:31.863232 arp who-has 10.1.90.63 tell 10.1.14.3
> 08:47:31.863262 arp who-has 10.1.139.99 tell 10.1.14.3
> 08:47:31.863295 arp who-has 10.1.182.147 tell 10.1.14.3
> 08:47:31.863386 arp who-has 10.1.196.159 tell 10.1.14.3
>
> 10.1.196.159 i inne wogle nie wystepuja w mojej sieci natomiast 10.1.14.3
> tak
> ale wczoraj podczas tego polecenia w miejscu gdize teraz wyraznie jest tylko
> 10.1.14.3
> bylo kilka roznych ip z mojej sieci . Serwer stoii od miesiaca i nic takiego
> sie nie dzialo az do przedwczoraj
> , a serwer to slackware 10.2 na jajku 2.6.x .
> Wyglada mi to jak wirus ktory skanuje siec i wmarza ruch na lanie co wjakis
> sposob zapych wszystko :(
> niemam juz pomysla jak wykryc tego usera ktory ma tego wira albo wogla jak
> sobie z tym problemem poradzic !
> pozdrawiam WiLdE
> ps. z gorki dzienki za pomoc !!
>
>
Received on Mon Oct 17 18:49:14 2005