[FUG-BR] Comportamento estranho FreeBSD 8.2-STABLE
Nilton Jose Rizzo
rizzo em i805.com.br
Sexta Março 2 10:57:39 BRT 2012
Em Fri, 02 Mar 2012 09:43:29 -0300, Antonio Modesto escreveu
> On Fri, 2012-03-02 at 09:17 -0300, Marcelo Gondim wrote:
>
> > Em 02/03/2012 09:07, Antonio Modesto escreveu:
> > > Bom dia,
> > >
> > > Ontem à noite tivemos um problema no nosso servidor proxy/roteador, ele
> > > simplesmente parou de responder aos pings e o Nagios me enviou uma
> > > notificação. O problema é que não foi possível verificar no monitor o
> > > que realmente tinha acontecido, tudo que tenho são essas entradas no
> > > console.log:
> > >
> > > Mar 1 19:02:01 may kernel: Approaching the limit on PV entries,
> > > consider increasing either the or the
> > > vm.pmap.pv_entry_max sysctl.
> > > Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready
> > > yet)
> > > Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err
> > > 6)
> > >
> > > E essas no messages.log:
> > >
> > > Mar 1 19:02:02 may kernel: Limiting closed port RST response from 222
> > > to 200 packets/sec
> > > Mar 1 19:02:04 may kernel: Limiting closed port RST response from 249
> > > to 200 packets/sec
> > > Mar 1 19:02:05 may kernel: Limiting closed port RST response from 219
> > > to 200 packets/sec
> > > Mar 1 19:02:06 may kernel: Limiting closed port RST response from 236
> > > to 200 packets/sec
> > > Mar 1 19:02:06 may kernel: acpi0: suspend request ignored (not ready
> > > yet)
> > > Mar 1 19:02:06 may kernel: acpi0: request to enter state S5 failed (err
> > > 6)
> > > Mar 1 19:02:07 may kernel: Limiting closed port RST response from 208
> > > to 200 packets/sec
> > > Mar 1 19:02:08 may kernel: Limiting closed port RST response from 227
> > > to 200 packets/sec
> > > Mar 1 19:02:09 may kernel: Limiting closed port RST response from 258
> > > to 200 packets/sec
> > > Mar 1 19:02:10 may kernel: Limiting closed port RST response from 225
> > > to 200 packets/sec
> > > Mar 1 19:02:11 may kernel: Limiting closed port RST response from 227
> > > to 200 packets/sec
> >
> > Tudo indica que você está sendo atacado, um DoS da vida. Você tem algum
> > Firewall nesse equipamento?
>
> Nesse servidor tenho 5 serviços de rede (squid, named, ntp, snmp,
> ssh). O squid só ouve no IP de loopback, pois o proxy é
> transparente, agora o named, ntp e snmp estão desprotegidos. Agora o
> que acho estranho é essa tentativa de suspender o sistema, eu
> desabilitei o power button na acpi por precaução, e aumentei o valor
> de vm.pmap.shpgperproc. Estou desconfiando que estas mensagens de
> RST acontecem pois o sistema está sendo desligado, talvez esteja
> chegando requisições HTTP ou queries DNS e as portas já foram
> fechadas por causa do suspend.
>
> >
> > > Sábado 25/02 esse mesmo problema havia acontecido, eu incrementei o
> > > valor de vm.pmap.shpgperproc para 500 mas pelo jeito não adiantou. Não
> > > sei realmente se é esse primeiro erro que está ocasionando essas
> > > tentativas de suspender o sistema.
> > >
> > >
> > > Alguma sugestão?
> > >
> > > # uname -a
> > > FreeBSD xxxxxxxxxxxxxxxx 8.2-STABLE FreeBSD 8.2-STABLE #1: Wed Dec 28
> > > 10:10:26 BRST 2011 root at xxxxxxxxxxxxxx:/usr/obj/usr/src/sys/PROXY
> > > amd64
> > >
> > >
> > >
> > > Obrigado.
> > >
Não entendi sua dúvida se é o ataque de DoS (flood de icmp) ou é
o computador tentando entrar em modo S5 via acpi
--
Nilton José Rizzo
805 Informatica
Disseminando tecnologias
021 2413 9786
---
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
http://en.wikipedia.org/wiki/Posting_style
Mais detalhes sobre a lista de discussão freebsd