Problema contagioso (servidores em geral)

[nataniel]

Pessoal,

Estou passando por uma situação com a qual nunca havia lidado. Estou com um problema, sério, que é contagioso ao meu ver.

Começou com um servidor novo que coloquei em minha rede em um POP remoto. Esse servidor não parava online e, quando eu ia ver, não havia nada em LOG e nem mesmo eu conseguia explicar o motivo da paralização. Era um StaOS. Mudei para Mirkotik com a mesma máquina... a mesma coisa, parava do nada sem explicação e sem log algum (completamente travada a máquina).

Mudei a máquina para um Celeron... Nada... Nem StarOS nem Mikrotik. Mudei a máquina para um Athlon 64... Aparentemente resolveu mas o que me deixou curioso é que HOJE, após dois dias da mudança, outro servidor da minha rede apresentou os mesmos sintomas.

Resolvi tirar ele do local onde estava e coloquei um backup devidamente configurado... Outra surpresa, as 14h00 de hoje parou esse backup com o mesmo problema. Simplesmente travou. Migrei tudo para meu gateway principal deixando a rede toda em bridge... IMAGINEM que este parou a exatos 45 minutos...

Barrei todo o tráfego que pude de entrada... O servidor apenas está aceitando conexões de saida. Estou achando que é algum tipo de denial of service mas não consigo identificar... Se alguem puder me ajudar eu agradeço.

[sergio]

é Nataniel, parece que fizeram macumba para sua rede...

Seguinte, abre um tcpdump e tenta identificar o que ocorre, de qual IP vem a mer%$#. Verifique em clientes que utilizam rede local (tem hub/switch) se nenhum cabeça de bagre ligou um cabo em loop. Veja também os ARP request, pois máquinas que geram "ataque" em redes wireless normalmente inundam sua tabela ARP. Tem uma distribuição que roda em CD (sthealt wall) coloque ela entre seu servidor principal e sua rede wireless e utilize as ferramentas (tem várias) da mesma para ver se ajuda a identificar algo.

[1c3m4n]

nao custa tb dar uma checada na eletrica do lugar, dependendo da fonte da maquina se nao tiver certinho acontece issu

[nataniel]

é Nataniel, parece que fizeram macumba para sua rede...

Seguinte, abre um tcpdump e tenta identificar o que ocorre, de qual IP vem a mer%$#. Verifique em clientes que utilizam rede local (tem hub/switch) se nenhum cabeça de bagre ligou um cabo em loop. Veja também os ARP request, pois máquinas que geram "ataque" em redes wireless normalmente inundam sua tabela ARP. Tem uma distribuição que roda em CD (sthealt wall) coloque ela entre seu servidor principal e sua rede wireless e utilize as ferramentas (tem várias) da mesma para ver se ajuda a identificar algo.

Sergio,

Vou fazer isso amanha logo cedo. Estou por colocar de volta o servidor do meio do caminho para resolver alguns problemas que não consegui migrando tudo para o gateway principal.

nao custa tb dar uma checada na eletrica do lugar, dependendo da fonte da maquina se nao tiver certinho acontece issu

Ice,

Essa foi a primeira coisa que procurei. Em todos os locais onde deu o mesmo problema existe a mesma estrutura de Nobreak (TSShara 1200Va Profissional + 2 Baterias automotivas de 12V/45mAh). Como os três servidores que deram problemas estão em três locais diferentes acho difícil ser o mesmo problema de energia nos três pontos.

[lss]

caramba, serigio. Um cabo de rede em loop numa rede interna, pode fuder a rede wireless toda ?
que doidera...

[sergio]

caramba, serigio. Um cabo de rede em loop numa rede interna, pode fuder a rede wireless toda ?
que doidera...

Isso é wireless... o fim do mundo... :cry: :cry:

Imagine a situação: vc tem um AP, que grosseiramente falando seria um HUB se estiver em modo transparente, o gateway do cliente é no seu server ou ainda o AP pode estar em modo router e ter a gateway do cliente nele mesmo. Digamos que você faça uma redezinha /29 para o cliente e o mesmo seja atendido por um desses apzinhos em modo cliente/bridge ligado em um hub e por fim liga ao hub os PCs, depois liga um cabo em loop... Adivinha o que acontece no seu server??? não dá tempo nem de abrir um iptraf e ver de onde vem a artilharia... :x :-P

[nataniel]

Sergio,

Realmente eu já passei por isso e por esse motivo tenho medo de bridge em clientes... Tenho usando muito os Ovislink WL5460 com APRouter mas tudo em modo roteador com pppoe-relay habilitado. Nada de deixar em bridge...

[tuxbrasil]

nata,

seu problema é semelhante aos que acontece em redes cabeadas quando está infestada com spywares, virus e outras porcarias, da uma olhadinha nos logs e veja de onde ta partindo o ataque, se sua rede ja estiver toda isolada cliente por cliente não se esquenta com isso se não tiver olha se o trafego entre eles não está alto, e tb fica atento a porta que está sendo usanda, pois uma das armas de warchalking é o DoS.

valew

[nataniel]

tux,

Estou revendo todos os meus conceitos de firewall e reestudando toda a estrutura que criei. Vou refazer os modelos de trabelho que tenho e ver como se comportam... Aos poucos eu chego lá...