Назад | Перейти на главную страницу

Журнал ядра «TCP: Измена раскрыта!»

На одном сервере Linux (Gentoo с усиленной защитой) время от времени в dmesg появляются всплески следующих сообщений:

TCP: Treason uncloaked! Peer xx.xx.xxx.xxx:65039/80 shrinks window 4094157295:4094160199. Repaired.

Есть ли что-то, о чем мы должны позаботиться, или это нормально?

Обновить: Может быть связано, мы используем net.ipv4.tcp_congestion_control = cubic. Версия ядра - 2.6.28 с исправлениями усиления Gentoo.

Обновить: Это, вероятно, действительно может быть связано с проблемами оборудования / драйверов, так как мы иногда наблюдаем «заминку» на коммутаторах: порт выходит из строя и снова встает. Только недавно мы обнаружили следующий вывод dmesg, связанный с этими перебоями портов:

[5781269.910133] e1000: eth0: e1000_clean_tx_irq: Detected Tx Unit Hang
[5781269.910136]   Tx Queue             <0>
[5781269.910137]   TDH                  <e0>
[5781269.910139]   TDT                  <76>
[5781269.910140]   next_to_use          <76>
[5781269.910141]   next_to_clean        <da>
[5781269.910143] buffer_info[next_to_clean]
[5781269.910144]   time_stamp           <22750e54>
[5781269.910146]   next_to_watch        <e2>
[5781269.910147]   jiffies              <22750f5f>
[5781269.910148]   next_to_watch.status <0>

Обычно после этих записанных строк следуют также некоторые строки «Измена раскрыта» (но не наоборот, это означает, что они не всегда записываются перед «Разоблаченной изменой»).

Резонанс может быть любым из следующего:

  1. Неверные параметры tcpstack
  2. Удаленная атака
  3. Ошибки в ядре или драйвере сетевого адаптера (у меня они были в прошлом с Intel EtherExpress PRO / 100 и драйвером eepro100)
  4. Неисправный сетевой адаптер
  5. Поврежденные или плохие кабели

Вы можете получить это сообщение, когда люди решат «оптимизировать» парметры TCP в удаленных системах, но это также может быть атака синхронным потоком.

Было несколько известных ошибок ядра, из-за которых это сообщение появлялось по ошибке. Я считаю, что они были исправлены в ядре 2.6.26.

Какую версию Linux вы используете? Возможно ошибка в вашем ядре.