[FUG-BR] Comportamento estranho FreeBSD 8.2-STABLE

Nilton Jose Rizzo rizzo em i805.com.br
Sexta Março 2 10:57:39 BRT 2012


Em Fri, 02 Mar 2012 09:43:29 -0300, Antonio Modesto escreveu
> On Fri, 2012-03-02 at 09:17 -0300, Marcelo Gondim wrote:
> 
> > Em 02/03/2012 09:07, Antonio Modesto escreveu:
> > > Bom dia,
> > >
> > > Ontem à noite tivemos um problema no nosso servidor proxy/roteador, ele
> > > simplesmente parou de responder aos pings e o Nagios me enviou uma
> > > notificação. O problema é que não foi possível verificar no monitor o
> > > que realmente tinha acontecido, tudo que tenho são essas entradas no
> > > console.log:
> > >
> > > Mar  1 19:02:01 may kernel: Approaching the limit on PV entries,
> > > consider increasing either the   or the
> > > vm.pmap.pv_entry_max sysctl.
> > > Mar  1 19:02:06 may kernel: acpi0: suspend request ignored (not ready
> > > yet)
> > > Mar  1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err
> > > 6)
> > >
> > > E essas no messages.log:
> > >
> > > Mar  1 19:02:02 may kernel: Limiting closed port RST response from 222
> > > to 200 packets/sec
> > > Mar  1 19:02:04 may kernel: Limiting closed port RST response from 249
> > > to 200 packets/sec
> > > Mar  1 19:02:05 may kernel: Limiting closed port RST response from 219
> > > to 200 packets/sec
> > > Mar  1 19:02:06 may kernel: Limiting closed port RST response from 236
> > > to 200 packets/sec
> > > Mar  1 19:02:06 may kernel: acpi0: suspend request ignored (not ready
> > > yet)
> > > Mar  1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err
> > > 6)
> > > Mar  1 19:02:07 may kernel: Limiting closed port RST response from 208
> > > to 200 packets/sec
> > > Mar  1 19:02:08 may kernel: Limiting closed port RST response from 227
> > > to 200 packets/sec
> > > Mar  1 19:02:09 may kernel: Limiting closed port RST response from 258
> > > to 200 packets/sec
> > > Mar  1 19:02:10 may kernel: Limiting closed port RST response from 225
> > > to 200 packets/sec
> > > Mar  1 19:02:11 may kernel: Limiting closed port RST response from 227
> > > to 200 packets/sec
> > 
> > Tudo indica que você está sendo atacado, um DoS da vida. Você tem algum 
> > Firewall nesse equipamento?
> 
> Nesse servidor tenho 5 serviços de rede (squid, named, ntp, snmp,
>  ssh). O squid só ouve no IP de loopback, pois o proxy é 
> transparente, agora o named, ntp e snmp estão desprotegidos. Agora o 
> que acho estranho é essa tentativa de suspender o sistema, eu 
> desabilitei o power button na acpi por precaução, e aumentei o valor 
> de vm.pmap.shpgperproc. Estou desconfiando que estas mensagens de 
> RST acontecem pois o sistema está sendo desligado, talvez esteja 
> chegando requisições HTTP ou queries DNS e as portas já foram 
> fechadas por causa do suspend.
> 
> > 
> > > Sábado 25/02 esse mesmo problema havia acontecido, eu incrementei o
> > > valor de vm.pmap.shpgperproc para 500 mas pelo jeito não adiantou. Não
> > > sei realmente se é esse primeiro erro que está ocasionando essas
> > > tentativas de suspender o sistema.
> > >
> > >
> > > Alguma sugestão?
> > >
> > > # uname -a
> > > FreeBSD xxxxxxxxxxxxxxxx 8.2-STABLE FreeBSD 8.2-STABLE #1: Wed Dec 28
> > > 10:10:26 BRST 2011     root at xxxxxxxxxxxxxx:/usr/obj/usr/src/sys/PROXY
> > > amd64
> > >
> > >
> > >
> > > Obrigado.
> > >


Não entendi sua dúvida se é o ataque de DoS (flood de icmp)  ou é
o computador tentando entrar em modo S5 via acpi

-- 
Nilton José Rizzo 
805 Informatica 
Disseminando tecnologias 
021 2413 9786
---
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?

http://en.wikipedia.org/wiki/Posting_style



Mais detalhes sobre a lista de discussão freebsd