Mal schnell die Server-Statistiken der Rootserver überfliegen. Was ist das? Der Browser tut einfach nichts! Also schnell ein Ping auf die Server. Ping geht, RTT und TTL sind ok. Also mit ssh auf den ersten Server. Nichts. Kein Zugang über ssh. Portscan mit nmap auf den Server. Die Ports für http und ssh sind offen.
Leichte Unruhe macht sich breit. Wörter wie rootkit, cracker und exploit gehen mir durch den Kopf.
Nun ist strukturierte Fehlersuche angesagt. Eigenen PC und die m0n0wall checken. Alles ok.
Ein traceroute mit unterschiedlichen Framegrößen ergibt interessante Ergebnisse. Frames die größer sind als 630 Bytes sterben an einem Router von Arcor in Frankfurt.
[root] ~ $ traceroute 66.249.93.99 617
traceroute to 66.249.93.99 (66.249.93.99), 30 hops max, 617 byte packets
1 m0n0 (10.0.0.1) 6.950 ms
2 dslc-213-023-128-001.pools.arcor-ip.net (213.23.128.1) 37.707 ms
3 bln-145-254-5-141.arcor-ip.net (145.254.5.141) 56.049 ms
4 ffm-145-254-16-18.arcor-ip.net (145.254.16.18) 47.377 ms
[root] ~ $ traceroute 66.249.93.99 616
traceroute to 66.249.93.99 (66.249.93.99), 30 hops max, 616 byte packets
1 m0n0 (10.0.0.1) 7.566 ms
2 dslc-213-023-128-001.pools.arcor-ip.net (213.23.128.1) 39.810 ms
3 bln-145-254-5-141.arcor-ip.net (145.254.5.141) 48.004 ms
4 ffm-145-254-16-18.arcor-ip.net (145.254.16.18) 63.630 ms
5 de-cix.net.google.com (80.81.192.108) 34.078 ms
6 66.249.94.136 (66.249.94.136) 25.697 ms
7 72.14.238.120 (72.14.238.120) 46.013 ms
8 72.14.238.119 (72.14.238.119) 61.039 ms
9 216.239.43.89 (216.239.43.89) 78.057 ms
Der Router sendet keine passende ICMP-Meldung. Ach das Abschalten von PMTUD hilft nicht. Durch ein Setzen der eigenen MTU auf einen entsprechenden kleinen Wert mittels ifconfig, sind alle Server wieder erreichbar.
In den einschlägigen Foren laufen entsprechende Diskussionen. Arcor hat das Problem bis 22.00 Uhr nicht behoben.
Mal sehen wie es weitergeht…
Dieser Eintrag wurde geschrieben
am 04.12.2005 und ist abgelegt unter
Netzwerktechnik.
Sie können einen Kommentar schreiben und
einen Trackback von Ihrer Seite setzen.
Mal schnell die Server-Statistiken der Rootserver überfliegen. Was ist das? Der Browser tut einfach nichts! Also schnell ein Ping auf die Server. Ping geht, RTT und TTL sind ok. Also mit ssh auf den ersten Server. Nichts. Kein Zugang über ssh. Portscan mit nmap auf den Server. Die Ports für http und ssh sind offen.
Leichte Unruhe macht sich breit. Wörter wie rootkit, cracker und exploit gehen mir durch den Kopf.
Nun ist strukturierte Fehlersuche angesagt. Eigenen PC und die m0n0wall checken. Alles ok.
Ein traceroute mit unterschiedlichen Framegrößen ergibt interessante Ergebnisse. Frames die größer sind als 630 Bytes sterben an einem Router von Arcor in Frankfurt.
[root] ~ $ traceroute 66.249.93.99 617
traceroute to 66.249.93.99 (66.249.93.99), 30 hops max, 617 byte packets
1 m0n0 (10.0.0.1) 6.950 ms
2 dslc-213-023-128-001.pools.arcor-ip.net (213.23.128.1) 37.707 ms
3 bln-145-254-5-141.arcor-ip.net (145.254.5.141) 56.049 ms
4 ffm-145-254-16-18.arcor-ip.net (145.254.16.18) 47.377 ms
[root] ~ $ traceroute 66.249.93.99 616
traceroute to 66.249.93.99 (66.249.93.99), 30 hops max, 616 byte packets
1 m0n0 (10.0.0.1) 7.566 ms
2 dslc-213-023-128-001.pools.arcor-ip.net (213.23.128.1) 39.810 ms
3 bln-145-254-5-141.arcor-ip.net (145.254.5.141) 48.004 ms
4 ffm-145-254-16-18.arcor-ip.net (145.254.16.18) 63.630 ms
5 de-cix.net.google.com (80.81.192.108) 34.078 ms
6 66.249.94.136 (66.249.94.136) 25.697 ms
7 72.14.238.120 (72.14.238.120) 46.013 ms
8 72.14.238.119 (72.14.238.119) 61.039 ms
9 216.239.43.89 (216.239.43.89) 78.057 ms
Der Router sendet keine passende ICMP-Meldung. Ach das Abschalten von PMTUD hilft nicht. Durch ein Setzen der eigenen MTU auf einen entsprechenden kleinen Wert mittels ifconfig, sind alle Server wieder erreichbar.
In den einschlägigen Foren laufen entsprechende Diskussionen. Arcor hat das Problem bis 22.00 Uhr nicht behoben.
Mal sehen wie es weitergeht…
Dieser Eintrag wurde geschrieben
am 04.12.2005 und ist abgelegt unter
Netzwerktechnik.
Sie können einen Kommentar schreiben und
einen Trackback von Ihrer Seite setzen.
Schreiben Sie einen Kommentar
You must be logged in to post a comment.