Saltuari DoS LAN--->DMZ (lunghetto)

PAP400 · 15-10-2007, 17:03

Server in DMZ tramite Cisco PIX 515.

Il server in questione (Win2K3 Sp1) "quasi" ogni giorno (notare il
quasi: qualche volta NON accade) e "quasi" sempre alla stessa ora
(qualche volta accade anche in "altri" orari) alle 8:30 ca. diventa
irraggiungibile dalla LAN (utenti su porta 1352).

Il DoS dura da un minimo di 30 secondi fino a 5 minuti per poi sparire; "talvolta" (tutti questi "quasi" e "talvolta" mi faranno ammattire

) è sufficiente droppare le connessioni su protocollo notes (mai più di un centinaio) perchè il problema rientri.

In effetti scopro che il server in queste occasioni è irraggiungibile
mediante qualsivoglia protocollo (notes, telnet, SMB, http, etc.) ma risponde
correttamente ai ping (ICMP).

In alcune occasioni neanche da parte del server riesco ad aprire connessioni verso Outside.

Premesso che i possibili problemi lato applicativo li ho già esclusi
quasi tutti (antivirus, antispam, posta, web, tool di sincronizzazione
palmari, driver/firmware/cfg scheda di rete, performance monitor dei
vari sottosistemi, agenti/task schedulati, etc.), cosa mi consigliate per proseguire l'indagine?

Cioè cosa mi conviene cercare tra syslog del PIX (del quale purtroppo NON ho gestione autonoma, così come dello switch HP della DMZ) e/o tool lato LAN e/o DMZ?

Il problema è che a questo punto non so bene COSA cercare, stante anche la
saltuarietà del fatto.

Un grosso grazie a chi mi dà delle dritte, chè sono estenuato

PAP400

hmetal · 16-10-2007, 16:54

notes intendi lotus domino?

non è che è schedulato la creazione/manutenzione degli indici dei database?

non è che la gente comincia a loggarsi in quel momento (cominciano le repliche degli nsf) e tutto si impalla perche ha troppe richieste?

sempre che di domino si stia parlando...

non riesci a collegarti fisicamente sul server e vedere le risorse in quel momento?

ciao

PAP400 · 16-10-2007, 22:48

Quote:

Originariamente inviato da hmetal

notes intendi lotus domino?

non è che è schedulato la creazione/manutenzione degli indici dei database?

non è che la gente comincia a loggarsi in quel momento (cominciano le repliche degli nsf) e tutto si impalla perche ha troppe richieste?

sempre che di domino si stia parlando...

Il server IBM Lotus Domino (7.0.2 FP2) è stato rivoltato come un calzino

e (ben) dimensionato per il carico (agenti, mail journal, etc.):ora va come una scheggia, ma l'interruzione del servizio, seppur breve, permane.

Quote:

non riesci a collegarti fisicamente sul server e vedere le risorse in quel momento?

In effetti solo ogni tanto sono sul posto ma, come ho già detto, ho effettuato un performance monitor dei vari sottosistemi (CPU, I/O dischi e relative code, processi in attesa, context switches, interrupt, etc.) ed il carico risultante non giustifica affatto il DoS.

Ho appena sostituito lo switch che terrò sotto monitor mediante SNMP, mi farò passare i log del PIX nel quale non mi fanno entrare

e farò fare delle prove tese ad escludere piuttosto che ad individuare (almeno saprò dove concentrare la ricerca). Alla peggio proverò a scatenare un'analisi dei pacchetti (dove si vedrà) a fronte di un particolare evento (mancata risposta ad un telnet o sessione smtp ... vedremo) del quale farò polling.

Intanto grazie e sperem...

PAP400

15-10-2007, 17:03	#1
PAP400 Member Iscritto dal: Aug 2000 Messaggi: 224	Saltuari DoS [LAN--->DMZ] Server in DMZ tramite Cisco PIX 515. Il server in questione (Win2K3 Sp1) "quasi" ogni giorno (notare il quasi: qualche volta NON accade) e "quasi" sempre alla stessa ora (qualche volta accade anche in "altri" orari) alle 8:30 ca. diventa irraggiungibile dalla LAN (utenti su porta 1352). Il DoS dura da un minimo di 30 secondi fino a 5 minuti per poi sparire; "talvolta" (tutti questi "quasi" e "talvolta" mi faranno ammattire ) è sufficiente droppare le connessioni su protocollo notes (mai più di un centinaio) perchè il problema rientri. In effetti scopro che il server in queste occasioni è irraggiungibile mediante qualsivoglia protocollo (notes, telnet, SMB, http, etc.) ma risponde correttamente ai ping (ICMP). In alcune occasioni neanche da parte del server riesco ad aprire connessioni verso Outside. Premesso che i possibili problemi lato applicativo li ho già esclusi quasi tutti (antivirus, antispam, posta, web, tool di sincronizzazione palmari, driver/firmware/cfg scheda di rete, performance monitor dei vari sottosistemi, agenti/task schedulati, etc.), cosa mi consigliate per proseguire l'indagine? Cioè cosa mi conviene cercare tra syslog del PIX (del quale purtroppo NON ho gestione autonoma, così come dello switch HP della DMZ) e/o tool lato LAN e/o DMZ? Il problema è che a questo punto non so bene COSA cercare, stante anche la saltuarietà del fatto. Un grosso grazie a chi mi dà delle dritte, chè sono estenuato PAP400 Ultima modifica di PAP400 : 16-10-2007 alle 07:25.

16-10-2007, 16:54	#2
hmetal Senior Member Iscritto dal: Apr 2006 Città: Sydney - Hmetal up your ass! Messaggi: 987	notes intendi lotus domino? non è che è schedulato la creazione/manutenzione degli indici dei database? non è che la gente comincia a loggarsi in quel momento (cominciano le repliche degli nsf) e tutto si impalla perche ha troppe richieste? sempre che di domino si stia parlando... non riesci a collegarti fisicamente sul server e vedere le risorse in quel momento? ciao __________________ ...e poi i sistemi informativi sono come le donne, se hanno esperienza è meglio [cit] Il mio blog: thekangarootamer.wordpress.com "Già solo il fatto che tu sia indeciso sul da farsi è grave, sei un debole e quindi un sonaro..." [cit]

Strumenti
Mostra una versione stampabile Invia questa pagina per email