AMAD SYN flooding an Port 8090

Begonnen von Prof. Dr. Peter Henning, 27 Oktober 2016, 05:58:17

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

Prof. Dr. Peter Henning

27 Oktober 2016, 05:58:17
Ich habe drei Tablets, die per AMAD mit einem Raspberry Pi kommunizieren. Vor einigen Tagen habe ich ein Update auf die damals aktuelle Version 2.6.3 gemacht, und auch die Flowsets aktualisiert.

Läuft eigentich alles fast wie bisher - nur beschwert sich der Raspberry Pi jetzt über ein "possible SYN flooding at port 8090", generiert eine erhebliche Netzlast und ist nach ein paar Minuten tot.

Mir ist natürlich klar, wie ich den Fehler suchen kann. Leider ist das ziemlich zeitaufwändig (Zeit ist im Moment etwas knapp), darum erst einmal die Frage, ob das jemand anderem auch passiert ist.

LG

pah

dev0

#1
27 Oktober 2016, 06:55:37
Kann es sein, dass sich an Deinen Pi Firewall Regeln sich etwas geändert hat oder iptables(?) sich durch ein Update anders verhält? Dieser Effekt würde mAn auftreten, wenn eine Firewall das ausgehende "syn ack" verhindern würde oder wenn das Tablet auf das "syn ack" nicht mehr antwortet.
Ist nur so ein Gedanke, ich verwende das Modul nicht.

Prof. Dr. Peter Henning

#2
27 Oktober 2016, 07:43:42
Nö, am Pi wurde nur ein FHEM Update gefahren. Habe jetzt auf dem betreffenden Pi das FHEM totgelegt und auf den verbundenen Tablets AMAD gestoppt.

Wieder einmal bewährt sich meine verteilte Installation mit inzwischen 5 Pis.

LG

pah

CoolTux

#3
27 Oktober 2016, 07:50:39
Guten Morgen,

Muss gestehen kann mir nicht wirklich erklären wo das herkommen soll.
Es werden sowohl auf Clintseite als auch auf Serverseite die Verbindungen sofort wieder geschlossen nach Erhalt der Daten. Es können, gerade bei viel Handling mit dem Gerät, schon mal bis zu 30 Verbindungen pro Sekunde sein, welche aber wie gesagt sofort wieder geschlossen werden. Kann mir nicht vorstellen das man das als DoS Angriff sehen kann. Und wie gesagt es werden die Verbindungen vom Client wieder beendet. Das steht explizit so im Header drin.

Aber schau doch bitte mal ob Du das Problem mit der aktuellen 2.6.4 auch noch hast.
Hast Du zufällig noch gleichzeitig apptime am laufen? Wenn ja dann mal bitte ohne apptime testen oder in der Tat auf die aktuelle Version Update.

Kann mir nur erklären das es der alte apptime Bug von AMAD ist.



Grüße
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Prof. Dr. Peter Henning

#4
27 Oktober 2016, 08:16:12
Muss bis heute nachmittag warten, bin derzeit im Job.

LG

pah

CoolTux

#5
27 Oktober 2016, 08:27:37
Würde mich freuen wenn Du mir am Ende vom Ergebnis Bescheid gibst.


Grüße
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Prof. Dr. Peter Henning

#6
27 Oktober 2016, 16:04:42
OK etwas weiter.

3 Tablets, jeweils mit dem aktuellen Automagic Premium

No. 1 mit Android 4.0.4 (kann nicht geändert werden, muss es auch nicht)
No. 2 mit CyanogenMod entsprechend Android 4.3
No. 3 mit Android 4.4

Auf allen installiert Flowset 2.6.4, AMAD-Version auch 2.6.4,

No. 1 und No. 2 zeigen in den Readings
automagicState ... not supported from your device
mit einem Timestamp, der im Sekundentakt wechselt

Mit anderen Worten: Hier werden die Readings (mindestens das eine) extrem häufig aktualisiert. Deaktiviert man den Flow "Send Data to AMADCommbridge", hört das auf - allerdings findet AMAD das Device dann nicht mehr.

No. 3 zeigt als Reading
automagicState...Aktiviere Automagic unter Einstellungen -> Benachrichtigungen -> Benachrichtigungszugriff
mit einem für meine Begriffe ebenfalls zu häufigen Update.

Auf allen 3 Tablets wird der Flow "Informations" mit einem Fehler bendet (noch keine Ahnung, welcher das ist).

Die Frage ist also: Was triggert das häufige "Send Data to AMADCommbridge" ?

Auf allen 3 Tablets ist ferner Webviewcontrol installiert - und wird zur Spracherkennung und Sprachausgabe genutzt.

LG

pah

Prof. Dr. Peter Henning

#7
28 Oktober 2016, 09:41:27 Letzte Bearbeitung: 29 Oktober 2016, 19:33:29 von Prof. Dr. Peter Henning
OK, scheinbar gelöst.

Nachdem das Problem immer schlimmer wurde, war natürlich sofort die Hardware im Verdacht. Offenbar hat sich das WLAN-Interface (TP-Link High Power) des Raspberry verabschiedet und schickte immer irgendwelche falschen Pakete über das Netz (und an den Raspberry Pi). Ausgetauscht, seitdem läuft es stabil schon für 12 Stunden. Inklusive AMAD.

AMAD also hier nicht der Schuldige - aber da taucht es wegen des doch relativ häufigen Netztraffic dann zuerst auf.

LG

pah

Edit: Denkste. Dauert nur länger. ich tappe noch im Dunkeln
Noch ein Edit: Erst der Austausch des kompletten Raspberry Pi 2 brachte die Lösung. Einfach die alte SD-Karte, keine weiteren Änderungen - läuft wie eine Eins. Welcher Hardwarefehler sich da entwickelt hat, werde ich vielleicht noch herausfinden.
Drucken
Nach oben Seiten1
Benutzer-Aktionen