[HS] Occupation bizarre de la bande passante

Le
fra-duf-no-spam
Salut.

C'est HS, mais comme la machine tourne Debian, j'ai une demi-excuse :)

Voilà. Sur un serveur chez moi, j'ai repéré un drôle de=
comportement
dans la bande passante de ma machine [1].

Cette machine n'héberge plus qu'un serveur web, un serveur mail, et un
serveur ftp. L'interface en question est aussi reliée au réseau
local. nmap me dis, depuis l'extérieur:

Interesting ports on tourde.org (82.228.62.94):
Not shown: 1671 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet ( <-- C'est un ssh en fait)
25/tcp open smtp ( <-- autre machine )
53/tcp open domain ( <-- autre machine )
80/tcp open http
143/tcp open imap ( <-- Je sais, c'est mal)
995/tcp open pop3s
4..2/tcp open e..y ( <-- hum bon, c'est une autre machine)


Avez-vous une quelconque idée de ce qui peut provoquer une "bulle"
dans la bande passante? Ce qui m'étonne c'est la quasi symétrie d=
u in
et du out.

La machine n'étant plus passerelle, je ne sais pas trop ce qui peut
faire ça.

Toute idée, même saugrenue, est la bienvenue.

Merci d'avance.

PS: Je n'ai rien vu de particulier dans les logs, mais j'avoue que je
ne sais pas trop dans quelles logs piocher.


[1] : http://www.tourde.org/tmp/cantor.tourde.org-if_eth0-day.png
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yves Rutschle
Le #9617001
On Thu, Oct 25, 2007 at 12:47:06AM +0200, François TOURDE wrote:
Avez-vous une quelconque idée de ce qui peut provoquer une "bulle"
dans la bande passante? Ce qui m'étonne c'est la quasi symétrie du in
et du out.



ftp de fichiers qui sont en fait sur une autre machine sur NFS?

Une autre machine qui fait la sauvegarde de celle-ci, et
attrappe des fichiers sur une autre machine par NFS?

Pour faire plus rapide: cette machine a-t-elle des partages
de fichiers qq part?

Y.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Bulot Grégory
Le #9616991
Le jeudi 25 octobre 2007 00:47, François TOURDE a écrit :
Salut.

C'est HS, mais comme la machine tourne Debian, j'ai une demi-excuse :)

Voilà. Sur un serveur chez moi, j'ai repéré un drôle de comportement
dans la bande passante de ma machine [1].

Cette machine n'héberge plus qu'un serveur web, un serveur mail, et un
serveur ftp. L'interface en question est aussi reliée au réseau
local. nmap me dis, depuis l'extérieur:

Interesting ports on tourde.org (82.228.62.94):
Not shown: 1671 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet ( <-- C'est un ssh en fait)
25/tcp open smtp ( <-- autre machine )
53/tcp open domain ( <-- autre machine )
80/tcp open http
143/tcp open imap ( <-- Je sais, c'est mal)
995/tcp open pop3s
4..2/tcp open e.....y ( <-- hum... bon, c'est une autre machine)



/etc/init.d/e.....y stop

je l'avais installé c'est pas du p2p c'est du 2bp (Bouffe Bande Passan te)
fra-duf-no-spam
Le #9616931
Le 13811ième jour après Epoch,
Yves Rutschle écrivait:

On Thu, Oct 25, 2007 at 12:47:06AM +0200, François TOURDE wrote:
Avez-vous une quelconque idée de ce qui peut provoquer une "bulle"
dans la bande passante? Ce qui m'étonne c'est la quasi symétri e du in
et du out.



ftp de fichiers qui sont en fait sur une autre machine sur NFS?



Non, elle fait pas de ftp pour les autres celle-là.

Une autre machine qui fait la sauvegarde de celle-ci, et
attrappe des fichiers sur une autre machine par NFS?



Hum... Non plus, mais je dis pas pourquoi, na!

Pour faire plus rapide: cette machine a-t-elle des partages
de fichiers qq part?



Ben non, justement. Elle fut en son temps serveur Samba et NFS pour le
réseau local, mais elle a dû arrêter à cause de son à ¢ge, et d'une
certaine tendance à faire de l'Alzheimer...

Mais merci en tout cas.
fra-duf-no-spam
Le #9616921
Le 13811ième jour après Epoch,
Bulot Grégory écrivait:

Le jeudi 25 octobre 2007 00:47, François TOURDE a écrit :


[...]
4..2/tcp open e.....y ( <-- hum... bon, c'est une autre machine)



/etc/init.d/e.....y stop

je l'avais installé c'est pas du p2p c'est du 2bp (Bouffe Bande Pass ante)



:) ... En fait, c'est amule-daemon, mais j'avoue qu'il ne tourne pas
trop. Voire pas du tout. Et puis c'est sur une autre machine alors.

Je continue à chercher, mais 20Kbits en flux tendu et symétrique,
c'est trop faible et pas typique du p2p.

Mais merci quand même.
Yves Rutschle
Le #9616901
On Thu, Oct 25, 2007 at 01:27:07PM +0200, François TOURDE wrote:
Je continue à chercher, mais 20Kbits en flux tendu et symétrique,
c'est trop faible et pas typique du p2p.



Bon, en désespoir de mieux, tu peux utiliser eterape ou
lanmap pour au moins trouver d'où le trafic vient et où il
va...

Y.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
afrinc
Le #9616801
Bonjour,

On Thu, Oct 25, 2007 at 01:34:45PM +0200, Yves Rutschle wrote :
On Thu, Oct 25, 2007 at 01:27:07PM +0200, François TOURDE wrote:
> Je continue à chercher, mais 20Kbits en flux tendu et symétrique,
> c'est trop faible et pas typique du p2p.

Bon, en désespoir de mieux, tu peux utiliser eterape ou
lanmap pour au moins trouver d'où le trafic vient et où il
va...



il y a aussi iftop, simple et efficace.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9616771
Le 13811ième jour après Epoch,
écrivait:

Bonjour,

On Thu, Oct 25, 2007 at 01:34:45PM +0200, Yves Rutschle wrote :
On Thu, Oct 25, 2007 at 01:27:07PM +0200, François TOURDE wrote:
> Je continue à chercher, mais 20Kbits en flux tendu et symétr ique,
> c'est trop faible et pas typique du p2p.

Bon, en désespoir de mieux, tu peux utiliser eterape ou
lanmap pour au moins trouver d'où le trafic vient et où il
va...



il y a aussi iftop, simple et efficace.



Oui, mais là c'est trop tard, c'est du passé :) ... Et puis ma pa uvre
vieille machine ne supporterait pas trop d'être encombrée de tous ces
excellents outils de monitoring réseau :)

Comme elle sait que je vais bientôt l'éteindre, elle doit vouloir
tenter de communiquer avec de vieilles amies à elle pour une dernià ¨re
fois :)
Eric DECORNOD
Le #9616381
Le jeudi 25 octobre 2007, François TOURDE a écrit :
[...]
Oui, mais là c'est trop tard, c'est du passé :) ... [...]

Comme elle sait que je vais bientôt l'éteindre, elle doit voulo ir
tenter de communiquer avec de vieilles amies à elle pour une derni ère
fois :)



Ça sent le cron (vu l'heure) qui merde ça :

A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: j'peux pas
[...] (plein de fois et super souvent ==> trafic symétrique et con stant)
A: j'veux un truc
B: j'peux pas
A: j'veux un truc
B: tiens le voila ==> un petit pic en « in »

regarder les logs pour la période temps, il y a peut-être des tra ces (genre
tout ce qui se répète pdt la période).

Cordialement,
--
Eric DÉCORNOD
Publicité
Poster une réponse
Anonyme