* [Sysadmins] pcap - потеря пакетов
@ 2011-11-24 7:55 Eugene Prokopiev
0 siblings, 1 reply; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-24 7:55 UTC (permalink / raw)
To: Sysadmins
Здравствуйте!
Есть порт на коммутаторе, в который за минуту насыпается десяток гиг
(mirroring-group monitor-port), а еще есть 2 идентичных сервера (IBM
x3250 с Broadcom Corporation NetXtreme BCM5721 Gigabit Ethernet PCI
Express) c Windows 2003 SP2 и ALT t6/branch, на обоих установлен
tshark. Запускаю примерно так:
tshark -f "udp port 2944" -i интерфейс
И вот тут разница - виндовый сервер отлавливает все необходимое,
линуксовый вообще ничего не отлавливает. И даже если снять фильтр, то
в отловленном никаких UDP-пакетов через требуемый порт не наблюдается.
Аналогичным образом ведут себя все pcap-based-снифферы (а какие еще
бывают?). Гугл ничего путного не предложил, может кто тут сталкивался
с таким поведением?
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
@ 2011-11-24 12:35 ` Eugene Prokopiev
2011-11-25 10:44 ` Eugene Prokopiev
0 siblings, 1 reply; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-24 12:35 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> 1. Promiscuous mode на чипе интерфейса точно включился? Точно-точно? А убедиться в этом можно?
Включился, т.к. с ключем -p вообще ничего не ловится
> 2. Идентичные серверы != одинаковые. Что если изготовить третий сервер, тестовый, и напялить ему пробную Windows 2003 и ALT t6/branch, причем именно в таком порядке, чтобы получалась мультизагрузка? А ещё лучше, за компанию, ещё и ALT p5/branch?
> Как тогда поведёт себя tshark?
Удалось загрузить на сервере с Windows 2003 livecd на базе ALT
p5/branch - и имевшийся там tcpdump отработал нормально. Т.е. под
подозрением помимо версии libpcap еще объем RAM (на винде он вчетверо
больше) и x86_64 (т.к. livecd был i586) - никаких других видимых
различий нет
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-24 12:35 ` Eugene Prokopiev
@ 2011-11-25 10:44 ` Eugene Prokopiev
2011-11-25 12:22 ` Anton Farygin
` (2 more replies)
0 siblings, 3 replies; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-25 10:44 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Как ни удивительно, виноватым оказалось ядро el-smp, помогла замена на std-def.
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-25 10:44 ` Eugene Prokopiev
@ 2011-11-25 12:22 ` Anton Farygin
2011-11-25 15:19 ` Eugene Prokopiev
2011-11-25 18:25 ` Dubrovskiy Viacheslav
2011-11-29 5:29 ` Sergey
2 siblings, 1 reply; 12+ messages in thread
From: Anton Farygin @ 2011-11-25 12:22 UTC (permalink / raw)
To: sysadmins
25.11.2011 14:44, Eugene Prokopiev пишет:
> Как ни удивительно, виноватым оказалось ядро el-smp, помогла замена на std-def.
Серьёзная новость.
Повесьте ошибку ?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-25 12:22 ` Anton Farygin
@ 2011-11-25 15:19 ` Eugene Prokopiev
0 siblings, 0 replies; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-25 15:19 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
https://bugzilla.altlinux.org/26626
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-25 10:44 ` Eugene Prokopiev
2011-11-25 12:22 ` Anton Farygin
@ 2011-11-25 18:25 ` Dubrovskiy Viacheslav
2011-11-26 11:05 ` Eugene Prokopiev
2011-11-29 5:29 ` Sergey
2 siblings, 1 reply; 12+ messages in thread
From: Dubrovskiy Viacheslav @ 2011-11-25 18:25 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
25.11.2011 05:44, Eugene Prokopiev пишет:
> Как ни удивительно, виноватым оказалось ядро el-smp, помогла замена на std-def.
>
А какая сетевая и какой модуль для неё?
--
WBR,
Dubrovskiy Viacheslav
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-25 18:25 ` Dubrovskiy Viacheslav
@ 2011-11-26 11:05 ` Eugene Prokopiev
2011-11-26 11:52 ` Sergey
2011-11-26 16:29 ` Dubrovskiy Viacheslav
0 siblings, 2 replies; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-26 11:05 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> А какая сетевая и какой модуль для неё?
См. первое сообщение и:
# ethtool -i none
driver: tg3
version: 3.119
firmware-version: 5721-v3.65, ASFIPMI v6.24
bus-info: 0000:03:00.0
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-26 11:05 ` Eugene Prokopiev
@ 2011-11-26 11:52 ` Sergey
2011-11-26 12:09 ` Eugene Prokopiev
2011-11-26 16:29 ` Dubrovskiy Viacheslav
1 sibling, 1 reply; 12+ messages in thread
From: Sergey @ 2011-11-26 11:52 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Saturday 26 November 2011, Eugene Prokopiev wrote:
> # ethtool -i none
> driver: tg3
> version: 3.119
> firmware-version: 5721-v3.65, ASFIPMI v6.24
> bus-info: 0000:03:00.0
У меня поток значительно поменьше, правда, но ловится. А проверялось
с маленьким потоком ? И информацию про драйвер и про сетевую карту бы
тоже в баг.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-26 11:52 ` Sergey
@ 2011-11-26 12:09 ` Eugene Prokopiev
2011-12-02 4:37 ` Sergey
0 siblings, 1 reply; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-26 12:09 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> У меня поток значительно поменьше, правда, но ловится. А проверялось
> с маленьким потоком ?
С маленьким ловится, но все ли - зуб уже не дам ;)
> И информацию про драйвер и про сетевую карту бы
> тоже в баг.
уже
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-26 11:05 ` Eugene Prokopiev
2011-11-26 11:52 ` Sergey
@ 2011-11-26 16:29 ` Dubrovskiy Viacheslav
1 sibling, 0 replies; 12+ messages in thread
From: Dubrovskiy Viacheslav @ 2011-11-26 16:29 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
[-- Attachment #1: Type: text/plain, Size: 592 bytes --]
26.11.2011 06:05, Eugene Prokopiev пишет:
>> А какая сетевая и какой модуль для неё?
> См. первое сообщение и:
>
> # ethtool -i none
> driver: tg3
> version: 3.119
> firmware-version: 5721-v3.65, ASFIPMI v6.24
> bus-info: 0000:03:00.0
>
Я бы попробовал поставить pf_ring и модуль сетевухи с его поддержкой. А
так-же патченную libpcap.
В любом случае libpcap на таких объемах будет терять пакеты.
--
WBR,
Dubrovskiy Viacheslav
[-- Attachment #2: КриптографичеÑÐºÐ°Ñ Ð¿Ð¾Ð´Ð¿Ð¸ÑÑŒ S/MIME --]
[-- Type: application/pkcs7-signature, Size: 4903 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-25 10:44 ` Eugene Prokopiev
2011-11-25 12:22 ` Anton Farygin
2011-11-25 18:25 ` Dubrovskiy Viacheslav
@ 2011-11-29 5:29 ` Sergey
2 siblings, 0 replies; 12+ messages in thread
From: Sergey @ 2011-11-29 5:29 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Friday, November 25, 2011, Eugene Prokopiev wrote:
> Как ни удивительно, виноватым оказалось ядро el-smp, помогла
> замена на std-def.
Ещё подумалось. Может попробовать LiveCD с CentOS ? На сколько
я понимаю, ядро там должно быть похожее. И ovz-el до кучи...
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов
2011-11-26 12:09 ` Eugene Prokopiev
@ 2011-12-02 4:37 ` Sergey
0 siblings, 0 replies; 12+ messages in thread
From: Sergey @ 2011-12-02 4:37 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Saturday 26 November 2011, Eugene Prokopiev wrote:
> > У меня поток значительно поменьше, правда, но ловится.
> > А проверялось с маленьким потоком ?
>
> С маленьким ловится, но все ли - зуб уже не дам ;)
Я в баге написал, что у меня получилось. Это бы подтвердить или
опровергнуть... Потому как вот это "С маленьким ловится" выпадает
из моего варианта.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2011-12-02 4:37 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-11-24 7:55 [Sysadmins] pcap - потеря пакетов Eugene Prokopiev
2011-11-24 12:35 ` Eugene Prokopiev
2011-11-25 10:44 ` Eugene Prokopiev
2011-11-25 12:22 ` Anton Farygin
2011-11-25 15:19 ` Eugene Prokopiev
2011-11-25 18:25 ` Dubrovskiy Viacheslav
2011-11-26 11:05 ` Eugene Prokopiev
2011-11-26 11:52 ` Sergey
2011-11-26 12:09 ` Eugene Prokopiev
2011-12-02 4:37 ` Sergey
2011-11-26 16:29 ` Dubrovskiy Viacheslav
2011-11-29 5:29 ` Sergey
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git