Anfrage |
| |
|
|
| Art: |
Betreff: |
| FREE |
Traffic.Angabe im CCC |
| |
|
12.12.2005 14:19:00
|
Guten Tag,
unter "Serverübersicht" steht beim Traffic als Überschrift "Angabe in MB" und als Wert "1196,84 GB", allerdings kein Zeitraum - wie hab ich diese Angabe zu verstehen? Falls das der Wert seit dem Monatsersten ist, kommt mir das komisch vor, bisher war der Monatsdurchschnitt immer im zweistelligen GB-Bereich... Gibt es Graphen in denen ich eventuelle Spitzen nachverfolgen kann?
Vielen Dank!
|
| |
|
12.12.2005 14:22:20
|
Hallo,
der Wert bedeutet in dem Sinne 1196,84 GB haben Sie verbraucht. Das entspricht 1.2 TB.
Entsp. der Ausgabe unseres MRTG ist die Angabe völlig korrekt. Sie haben gestern allein schon einen eingehenden Traffic von gut 44 Mbit verursacht. Evtl. sollten Sie Ihren Server auf einen Hackangriff hin prüfen. Die pps Angaben sehen leider so aus als würde Ihr Server hier massiv viele Pakete verstreuen.
|
| |
|
12.12.2005 17:57:40
|
Ich habe in den letzten Minuten meinen Traffic sowohl mit tcpdump als auch mit ifconfig beobachtet - ich kann Ihre Messungen leider nicht nachvollziehen. Rootkits sind auch keine zu finden. Laut meiner Messungen habe ich von 17:04 bis 17:22 ca. 7.2 MB Traffic verursacht, laut Ihrer Statistik jedoch von 17:07 bis 17:26 ca. 2.9 GB (!)
An welchem Punkt messen Sie denn? Messen Sie nach IP oder nach MAC-Adresse? Sind Sie sicher daß kein Spoofing vorliegt? Wenn ja wäre ich sehr interessiert an einem Dump der meinen Traffic belegt, um die Ursache aufzuklären.
Kann man den Server eigentlich aus dem CCC wieder einschalten wenn er mit "halt" ausgschaltet wurde?
Vielen Dank!
|
| |
|
12.12.2005 18:05:28
|
Haben Sie evtl. mal Ihre weiteren IPs geprüpft? Der Traffic wurde direkt an Ihrem Switchport gemessen und ist völlig korrekt.
|
| |
|
12.12.2005 18:21:58
|
Laut Serverübersicht habe ich nur eine einzige IP - aber das sollte ja auch unerheblich sein wenn Ihre Messung den Roh-Traffic an meinem Port angibt. Kann man den Server eigentlich aus dem CCC wieder einschalten wenn er mit "halt" ausgschaltet wurde?
|
| |
|
12.12.2005 18:31:34
|
Hallo,
wenn er mit halt gestoppt wurde ist ein Restart über das CCC leider nicht mehr möglich, da er sich dann komplett ausschaltet.
|
| |
|
12.12.2005 18:54:53
|
Können Sie mir sagen, woraus dieser mysteriöse Traffic besteht? Ist es TCP/IP? Welcher Port? Welche Zieladresse? Ideal wäre ein Dump, damit ich ihn selbst auswerten kann. Wie gesagt - er scheint an meinem Server nicht anzukommen.
|
| |
|
12.12.2005 19:06:56
|
Das können wir Ihnen leider nicht sagen. Wir stellen nur graphische Daten dar und loggen keinerlei Daten mit.
Hier müssten Sie evtl. sich eine eigene iptable Rules zusammenstellen.
|
| |
|
12.12.2005 20:16:34
|
Wie ich ihnen schon gesagt habe - der Traffic kommt auf unserem Server nicht an. Er ist weder auf Userspace-Ebene noch auf Kernelebene nachweisbar! Unsere iptables-Regeln belegen uns bisher 139GB in INPUT:any und 174GB in OUTPUT:any - seit der Inbetriebnahme von iptables am 04.08.2004... Laut Ihrer Statistik haben wir schon allein in diesem Monat 1.2 TB (!) verbraucht.
Ich kann Ihre mrtg-Daten mit den von vnstat gemessenen Daten leider nicht bestätigen. Noch haben wir kein Problem - aber spätestens Ende Dezember könnte es eins werden. Sie müssen doch herausfinden können was das für ein Traffic ist, den Sie da messen...
|
| |
|
12.12.2005 20:25:41
|
Wir messen generell die Pakete die am Switchport eintreffen. Wir differenzieren nicht was das genau für Traffic darstellt.
Allein das MRTG von Ihrem Switchport bringt deutlich die angegebenen Trafficwerte. Aktuell verbrauchen Sie Current In: 26.5 Mb/s
|
| |
|
12.12.2005 21:11:48
|
Auf dem Server laufen keine Aktivitäten ab, die diesen Traffic verursachen könnten - es wurden eben für 30 Minuten alle Prozesse außer den nötigsten (DNS und SMTP) beendet. Um welchen Switch handelt es sich, auf dem gemessen wird? Ist das 193.201.54.1? In diesem Falle könnte ich das Routing für 193.201.54.1 für 30 Minuten auf localhost umstellen - wenn dann immer noch etwas gemessen wird sollte es nicht mehr unser Fehler sein.
|
| |
|
12.12.2005 21:39:53
|
Wir können Ihnen morgen gerne einen aktuellen Snapshot des MRTG von Ihrem Switchport zuschicken. Dann sehen Sie dies Realtime. Der Traffic läuft 100 % auf Ihrem Server auf und die Daten sind auch 100 % korrekt.
|
| |
|
13.12.2005 10:43:29
|
Es nützt mir nichts, zu sehen, *wie viel* Traffic da verbraucht wird - das sehe ich selbst. Ich bezweifle auch nicht daß Sie ihn messen. Ich möchte nur gerne wissen, *warum* Sie ihn messen während ich ihn nicht messe - und da die Debugging-Möglichkeiten meinerseits nahezu ausgeschöpft sind, bin ich auf Ihre Mitarbeit angewiesen, um herauszufinden, wo der Traffic herkommt. Es wäre sehr hilfreich, wenn Sie mir zusammen mit dem MRTG-Snapshot einen Dump von < 10 Minuten zusenden bzw. zum Download bereitstellen könnten. Alternativ dazu können Sie jedoch auch gerne weitere Vorgehensweisen zur Lokalisierung der Ursache des Traffics vorschlagen. Bisherige Informationen:
-er wird auf Kernelebene nicht gesehen, weder von ifconfig noch von tcpdump
-es gibt keine Hinweise auf einen Warez-Server oder ein Rootkit
Was vielleicht noch etwas helfen könnte wäre die MRTG-History der letzten Monate, um zu sehen wann der mysteriöse Traffic angefangen hat. Alternativ auch gerne ein direkter Zugang per www oder SNMP auf Ihre Statistiken meines Interfaces. Vielen Dank!
|
| |
|
13.12.2005 10:48:07
|
Den Snapshot haben wir Ihnen zugeschickt. Eine Ausgabe oder Analysen diesbzgl. müssten wir Ihnen entsp. nach Aufwand in Rechnung stellen.
Für je 15 Minuten würden wir Ihnen 25 Euro berechnen.
Zugang zu unseren MRTGs können wir Ihnen nicht bereitstellen.
|
| |
|
13.12.2005 12:57:15
|
MRTG liefert meiner Information nach nur eine Live-Repräsentation von Traffic an einem Interface und hat keine Möglichkeiten, die Summe des Traffics seit einem bestimmten Zeitpunkt daszustellen. Wie kommen Sie von den MRTG-Statistiken auf den Wert, den man in der Serverübersicht sieht?
|
| |
|
13.12.2005 13:09:07
|
Jeder Switchport liefert eine Anzahl von Paketen die man abfragen und speichern kann. Diese Paketanzahl entspricht exakt nach Umrechnung dem was Sie verbrauchen. Eine MRTG Auswertung ist und das müssen Sie unbedingt beachten was den rechnerischen Teil betrifft nicht exakt. Unser Verfahren bei der Messung am Switchport ist jedoch exakt aufgrund mehrerer Prüfverfahren.
Sie haben von uns einen aktuellen Tageswert erhalten.
|
| |
|
13.12.2005 13:21:58
|
Dürfte ich Sie um Details dieser Mess- und Prüfverfahren bitten? Fakt ist, daß nach wie vor eine Zahl von Ihnen gegen komplette TCP-Dumps von uns steht. Vielleicht finden wir die Fehlerursache durch einen Vergleich unserer Messverfahren. Zum Vergleich: Unser Dump geschah auf TCP-Ebene (mit tcpdump), weitere Trafficmessungen mit ifconfig (Vergleich zweier Momentaufnahmen von RX bytes bzw. TX bytes) und vnstat (liefert statistische Auswertungen von /proc).
|
| |
|
13.12.2005 13:38:32
|
Sie müssen bedenken das Verfahren die über Kernel gemessen generell ungenau sind.
Wir lesen im Endeffekt die Werte die man per SNMP abfragen kann von unseren Layer 2 Switches ab. Das Verfahren hierzu finden Sie entsp. auf vielen Switches Herstellerseiten die SNMP fähige Switches zur Verfügung stellen.
|
| |
|
13.12.2005 18:14:52
|
Sehr geehrter Support, sehr geehrte Techniker,
wir haben, nachdem wir die Ursache für den Traffic auch nach 2 Tagen intensivster Nachforschungen nicht lokalisieren konnten, für die letzte halbe Stunde unseren Server praktisch von der Außenwelt abgeschnitten - er befand sich in Ihrem Rettungssystem, desweiteren war das Netzwerkinterface deaktiviert. Dennoch wurden allein zwischen 17:27 und 17:41 von Ihrem Abrechnungssystem 600 MB Traffic gemessen. Daß hier etwas nicht stimmt, versteht sich von selbst. Bitte überprüfen Sie Ihr Abrechnungssystem oder liefern Sie weitere Nachweise, die belegen, daß dieser Traffic mit unserem Server in Verbindung zu bringen ist.
|
| |
|
14.12.2005 11:13:26
|
Hallo,
wir sind der Sache jetzt nochma nachgegangen und haben Sie an einen komplett neuen Switchport geklemmt sodass Sie ab sofort direkt prüfen können ob der Traffic jetzt direkt stimmt.
Der Switchport wurde resettet und frisch vom anderen System ausgelesen mit den Werten des neuen Switchports.
Derzeit wird ein Traffic von 15 GB seit Monatsbeginn angezeigt.
|
| |
|
15.12.2005 22:40:57
|
Sehr geehrtes Support-Team, sehr geehrte Techniker,
Ihre Messungen stimmen mit unseren wieder überein. Wie beurteilen Sie abschließend Ihre folgenden Aussagen?
- "Der Traffic wurde direkt an Ihrem Switchport gemessen und ist völlig korrekt."
- "Der Traffic läuft 100 % auf Ihrem Server auf und die Daten sind auch 100 % korrekt."
Ganz besonders ärgert uns, daß Sie erst nach 2 Tagen bereit waren, dem Problem nachzugehen, obwohl nach meiner 2. Nachricht hätte klar sein sollen, daß es ein Problem gibt und außerdem Ihr Aufwand sicher nicht mit unserem unnötigen Aufwand von ca. 10 Stunden vergleichbar war.
|
| |
|
16.12.2005 09:09:39
|
Da wir selbst an Ihrem Switchport gemessen haben und Sie entsp. einen komplett neuen bekommen haben war ein Fehler nicht ersichtlich.
Wenn wir anhand unseres Systemes Messungen am eingetragenen und gesteckten Switchport durchführen und die Werte erhalten die auch im MRTG vorhanden sind können wir hier keinen Fehler auf unserer Seite feststellen. Unser Versuch war mehr aus Kulanz um für Sie eine geeignete Lösung zu finden. Da wir leider keinen Zugriff auf Ihr System haben/hatten konnten wir entsp. natürlich nur einseitige Tests durchführen die jedoch zu Ihren Ungunsten verliefen und den Traffic anzeigten den Sie auch erhielten.
|
| |
|
16.12.2005 11:15:08
|
Mit Verlaub - soll das ein Witz sein? Natürlich können Sie nicht auf unserem System messen, daher haben wir dies für Sie übernommen und Sie in unserer 2. Nachricht auf unsere Ergebnisse aufmerksam gemacht. Spätestens da hätten Sie handeln müssen. Uns ist durch diese Aktion neben der privaten Arbeitszeit eine nicht unerhebliche Downtime entstanden, die einige zahlende Kunden verärgert hat. In einem Fall, in dem der Fehler so sonnenklar schon zu Beginn auf Ihrer Seite lag, im Nachhinein von "Kulanz" zu sprechen - und das bisher noch ohne Entschuldigung oder gar Angebot der Wiedergutmachung - ist eine Frechheit, für die sich Ihre Geschäftsführung oder diverse Portale für IT-Nachrichten sicher interessieren werden. Jeder Ihrer Kunden, der sich mit Netzwerken nicht ausreichend auskennt, wäre in diesem Fall gnadenlos abgezockt worden. Wir werden dennoch Ihre Reaktion abwarten bevor wir weitere Schritte unternehmen.
|
| |
|
16.12.2005 11:30:45
|
Wie wir Ihnen bereits erklärt haben stimmten entsp. der Trafficangaben und dem MRTG unsere Aussagen überein, dass der Traffic tatsächlich auf Ihrem Server eingetroffen ist.
Es scheint sich ja hier bedauerlicherweise um einen defekten Switchport zu handeln der falsche Daten ausliest nur DAS können wir im Vorfeld ja nicht erkennen. Für unser System und auch die rein optischen Werte sieht das insgesamt gesehen völlig korrekt aus.
Die Abweichung mit Ihren Messungen können wir ja leider nicht nachvollziehen, denn in dem Fall hätten wir uns das auf Ihrem System direkt anschauen müssen. Sie können derartige Tests an einem laufenden System so nicht direkt durchführen um einen defekten Switchport zu erkennen.
Wir bedauern natürlich und so sollte eigentlich unsere Stellungnahme dazu auch rüberkommen den defekten Switchport können jedoch hierfür keine Verantwortung übernehmen und haben auch bereits den Switch komplett ausgetauscht.
Hierfür möchten wir uns auch bei Ihnen entschuldigen nur bitte bedenken Sie, dass man wie gesagt rein von software und messtechnischen Tests hier keinen Fehler feststellen kann und wir ja trotzdem versuchsweise um eine Einigung zum Problemfall zu erzielen einen anderen Switchport angesteckt haben.
Bzgl. Ihrer letzten Antwort ausgehend die am 12.12. um 18:14 Uhr bei uns eintraf mussten wir für unseren letzten Test der ja dann erfolgreich war einen Zeitraum weit nach Mitternacht wählen um Ihren Server nicht zu lange vom Netz zu trennen. Dies sollte eigentlich auch in Ihrem Interesse sein. Ich kann dann leider nicht ganz verstehen warum Sie davon ausgehen, dass wir nicht der Sache nachgegangen sind, wenn die Arbeiten selbst nach den regulären Supportzeiten durchgeführt wurden.
|
