* [Sysadmins] pcap - потеря пакетов
@ 2011-11-24 7:55 Eugene Prokopiev
0 siblings, 1 reply; 12+ messages in thread
From: Eugene Prokopiev @ 2011-11-24 7:55 UTC (permalink / raw)
To: Sysadmins
Здравствуйте!
Есть порт на коммутаторе, в который за минуту насыпается десяток гиг
(mirroring-group monitor-port), а еще есть 2 идентичных сервера (IBM
x3250 с Broadcom Corporation NetXtreme BCM5721 Gigabit Ethernet PCI
Express) c Windows 2003 SP2 и ALT t6/branch, на обоих установлен
tshark. Запускаю примерно так:
tshark -f "udp port 2944" -i интерфейс
И вот тут разница - виндовый сервер отлавливает все необходимое,
линуксовый вообще ничего не отлавливает. И даже если снять фильтр, то
в отловленном никаких UDP-пакетов через требуемый порт не наблюдается.
Аналогичным образом ведут себя все pcap-based-снифферы (а какие еще
бывают?). Гугл ничего путного не предложил, может кто тут сталкивался
с таким поведением?
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 12+ messages in thread[parent not found: <1322123952.3132.86.camel@ls10458674.office.privatconsult.ru>]
* Re: [Sysadmins] pcap - потеря пакетов @ 2011-11-24 12:35 ` Eugene Prokopiev 2011-11-25 10:44 ` Eugene Prokopiev 0 siblings, 1 reply; 12+ messages in thread From: Eugene Prokopiev @ 2011-11-24 12:35 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > 1. Promiscuous mode на чипе интерфейса точно включился? Точно-точно? А убедиться в этом можно? Включился, т.к. с ключем -p вообще ничего не ловится > 2. Идентичные серверы != одинаковые. Что если изготовить третий сервер, тестовый, и напялить ему пробную Windows 2003 и ALT t6/branch, причем именно в таком порядке, чтобы получалась мультизагрузка? А ещё лучше, за компанию, ещё и ALT p5/branch? > Как тогда поведёт себя tshark? Удалось загрузить на сервере с Windows 2003 livecd на базе ALT p5/branch - и имевшийся там tcpdump отработал нормально. Т.е. под подозрением помимо версии libpcap еще объем RAM (на винде он вчетверо больше) и x86_64 (т.к. livecd был i586) - никаких других видимых различий нет -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-24 12:35 ` Eugene Prokopiev @ 2011-11-25 10:44 ` Eugene Prokopiev 2011-11-25 12:22 ` Anton Farygin ` (2 more replies) 0 siblings, 3 replies; 12+ messages in thread From: Eugene Prokopiev @ 2011-11-25 10:44 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Как ни удивительно, виноватым оказалось ядро el-smp, помогла замена на std-def. -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-25 10:44 ` Eugene Prokopiev @ 2011-11-25 12:22 ` Anton Farygin 2011-11-25 15:19 ` Eugene Prokopiev 2011-11-25 18:25 ` Dubrovskiy Viacheslav 2011-11-29 5:29 ` Sergey 2 siblings, 1 reply; 12+ messages in thread From: Anton Farygin @ 2011-11-25 12:22 UTC (permalink / raw) To: sysadmins 25.11.2011 14:44, Eugene Prokopiev пишет: > Как ни удивительно, виноватым оказалось ядро el-smp, помогла замена на std-def. Серьёзная новость. Повесьте ошибку ? ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-25 12:22 ` Anton Farygin @ 2011-11-25 15:19 ` Eugene Prokopiev 0 siblings, 0 replies; 12+ messages in thread From: Eugene Prokopiev @ 2011-11-25 15:19 UTC (permalink / raw) To: ALT Linux sysadmins' discussion https://bugzilla.altlinux.org/26626 -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-25 10:44 ` Eugene Prokopiev 2011-11-25 12:22 ` Anton Farygin @ 2011-11-25 18:25 ` Dubrovskiy Viacheslav 2011-11-26 11:05 ` Eugene Prokopiev 2011-11-29 5:29 ` Sergey 2 siblings, 1 reply; 12+ messages in thread From: Dubrovskiy Viacheslav @ 2011-11-25 18:25 UTC (permalink / raw) To: ALT Linux sysadmins' discussion 25.11.2011 05:44, Eugene Prokopiev пишет: > Как ни удивительно, виноватым оказалось ядро el-smp, помогла замена на std-def. > А какая сетевая и какой модуль для неё? -- WBR, Dubrovskiy Viacheslav ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-25 18:25 ` Dubrovskiy Viacheslav @ 2011-11-26 11:05 ` Eugene Prokopiev 2011-11-26 11:52 ` Sergey 2011-11-26 16:29 ` Dubrovskiy Viacheslav 0 siblings, 2 replies; 12+ messages in thread From: Eugene Prokopiev @ 2011-11-26 11:05 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > А какая сетевая и какой модуль для неё? См. первое сообщение и: # ethtool -i none driver: tg3 version: 3.119 firmware-version: 5721-v3.65, ASFIPMI v6.24 bus-info: 0000:03:00.0 -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-26 11:05 ` Eugene Prokopiev @ 2011-11-26 11:52 ` Sergey 2011-11-26 12:09 ` Eugene Prokopiev 2011-11-26 16:29 ` Dubrovskiy Viacheslav 1 sibling, 1 reply; 12+ messages in thread From: Sergey @ 2011-11-26 11:52 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On Saturday 26 November 2011, Eugene Prokopiev wrote: > # ethtool -i none > driver: tg3 > version: 3.119 > firmware-version: 5721-v3.65, ASFIPMI v6.24 > bus-info: 0000:03:00.0 У меня поток значительно поменьше, правда, но ловится. А проверялось с маленьким потоком ? И информацию про драйвер и про сетевую карту бы тоже в баг. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-26 11:52 ` Sergey @ 2011-11-26 12:09 ` Eugene Prokopiev 2011-12-02 4:37 ` Sergey 0 siblings, 1 reply; 12+ messages in thread From: Eugene Prokopiev @ 2011-11-26 12:09 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > У меня поток значительно поменьше, правда, но ловится. А проверялось > с маленьким потоком ? С маленьким ловится, но все ли - зуб уже не дам ;) > И информацию про драйвер и про сетевую карту бы > тоже в баг. уже -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-26 12:09 ` Eugene Prokopiev @ 2011-12-02 4:37 ` Sergey 0 siblings, 0 replies; 12+ messages in thread From: Sergey @ 2011-12-02 4:37 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On Saturday 26 November 2011, Eugene Prokopiev wrote: > > У меня поток значительно поменьше, правда, но ловится. > > А проверялось с маленьким потоком ? > > С маленьким ловится, но все ли - зуб уже не дам ;) Я в баге написал, что у меня получилось. Это бы подтвердить или опровергнуть... Потому как вот это "С маленьким ловится" выпадает из моего варианта. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-26 11:05 ` Eugene Prokopiev 2011-11-26 11:52 ` Sergey @ 2011-11-26 16:29 ` Dubrovskiy Viacheslav 1 sibling, 0 replies; 12+ messages in thread From: Dubrovskiy Viacheslav @ 2011-11-26 16:29 UTC (permalink / raw) To: ALT Linux sysadmins' discussion [-- Attachment #1: Type: text/plain, Size: 592 bytes --] 26.11.2011 06:05, Eugene Prokopiev пишет: >> А какая сетевая и какой модуль для неё? > См. первое сообщение и: > > # ethtool -i none > driver: tg3 > version: 3.119 > firmware-version: 5721-v3.65, ASFIPMI v6.24 > bus-info: 0000:03:00.0 > Я бы попробовал поставить pf_ring и модуль сетевухи с его поддержкой. А так-же патченную libpcap. В любом случае libpcap на таких объемах будет терять пакеты. -- WBR, Dubrovskiy Viacheslav [-- Attachment #2: КриптографичеÑÐºÐ°Ñ Ð¿Ð¾Ð´Ð¿Ð¸ÑÑŒ S/MIME --] [-- Type: application/pkcs7-signature, Size: 4903 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] pcap - потеря пакетов 2011-11-25 10:44 ` Eugene Prokopiev 2011-11-25 12:22 ` Anton Farygin 2011-11-25 18:25 ` Dubrovskiy Viacheslav @ 2011-11-29 5:29 ` Sergey 2 siblings, 0 replies; 12+ messages in thread From: Sergey @ 2011-11-29 5:29 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On Friday, November 25, 2011, Eugene Prokopiev wrote: > Как ни удивительно, виноватым оказалось ядро el-smp, помогла > замена на std-def. Ещё подумалось. Может попробовать LiveCD с CentOS ? На сколько я понимаю, ядро там должно быть похожее. И ovz-el до кучи... -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2011-12-02 4:37 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2011-11-24 7:55 [Sysadmins] pcap - потеря пакетов Eugene Prokopiev 2011-11-24 12:35 ` Eugene Prokopiev 2011-11-25 10:44 ` Eugene Prokopiev 2011-11-25 12:22 ` Anton Farygin 2011-11-25 15:19 ` Eugene Prokopiev 2011-11-25 18:25 ` Dubrovskiy Viacheslav 2011-11-26 11:05 ` Eugene Prokopiev 2011-11-26 11:52 ` Sergey 2011-11-26 12:09 ` Eugene Prokopiev 2011-12-02 4:37 ` Sergey 2011-11-26 16:29 ` Dubrovskiy Viacheslav 2011-11-29 5:29 ` Sergey
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git