Traffic Problem

Axel Umpfenbach axel at umpfenbach.de
So Jan 27 13:56:38 CET 2002


Hallo Leute,

ich habe immer noch ein Traffic Problem auf meine 2 Mbit Leitung.
Der Nameserver war es nicht, da bin ich auf der falschen Spur gewesen.
Das Problem ist, dass immer wenn der Effekt auftritt, mein Cisco 
überladen wird und ich nicht mehr an ihn dran komme, um zu sehen, 
was da passiert.
Nun habe ich mit Ntop auf einen Linux-Rechner installiert.
Linux ist aber nicht meine Stärke, daher tu ich mich verdammt schwer.

Was ich bisher mit Ntop erkannt habe ist folgendes:
2 meiner Linux Server fangen plötzlich an unmengen an HTTP-Pakete 
raus zu schicken.
Diese grossen Mengen kann der Cisco wohl nicht verarbeiten und 
dreht durch.
Ich habe nun die Leitungskapazität für die beiden Linux auf 30% 
reduziert, damit das Netz noch arbeiten kann.
Dadurch habe ich das Problem der totalen Leitungsüberlastung zwar 
in den Griff bekommen, weiss aber nicht was da passiert und warum 
das passiert.

Während die anderen NT-Web-Server als Peak so 20-40 Pakete pro 
Sekunde verschicken, gehen die Linux mit Apache 1.2.9 auf über 
2000 Pakete pro Sekunde bei nur noch 30% vorhandenen 
Leitungskapazität. 
Wenn ich das 1:1 hochrechnen kann, dann waren das vorher bei 100% 
über 8000 Pakete/Sek. Es kommt dabei teilweise zu Retransmitraten von 
99%. Sogar auf der 10 Mbit Ethernet-Leitung sorgt das für einiges 
an Kollisionen.

Das ganze kommt so ca. 3-5 x pro Tag für 1-30 Minuten vor.
Dabei trifft es die beiden Linux Host manchmal gleichzeitig und manchmal 
nur irgendeinen davon.

Was ist das?
Kann das eine DOS-Attacke gegen den Apache sein?
Hat 1.3.9 da irgendwelche Bugs?

Bei NT mit IIS4 kann ich jedem einzelnen Webhost eine bestimmte 
Leitungskapazität zuordnen. Bei Apache habe ich so eine 
Konfiguarationsmöglichkeit nicht gefunden. Es gibt einige Limit 
Variablen, die aber nicht so global und einfach die Bandbreite 
beschränken.

Für jede Hilfe dankbar.

Axel Umpfenbach



Mehr Informationen über die Mailingliste Linux-Users