Was bedeutet "net_ratelimit: 44 Rückrufe unterdrückt" unter Linux?

19

Ich versuche, die Snort-Leistung auf einem Debian-basierten Router zu optimieren. Ich sah Sachen wie:

snort packet recv contents failure: No buffer space available

Also habe ich die Puffer auf 8M erhöht und als das nicht funktionierte habe ich 16M ausprobiert, laut der Tuning-Anleitung unter http://fasterdata.es.net/fasterdata/host-tuning/linux/ :

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
# Increase TCP Buffers to 16 MB
sysctl -w net.core.rmem_default='16777216'
sysctl -w net.core.wmem_default='16777216'
sysctl -w net.core.rmem_max='16777216'
sysctl -w net.core.wmem_max='16777216'
sysctl -w net.ipv4.tcp_wmem='1048576 4194304 16777216'
sysctl -w net.ipv4.tcp_rmem='1048576 4194304 16777216'
sysctl -w net.core.netdev_max_backlog='30000'
exit 0

Jetzt sehe ich den Protokolleintrag "kein Pufferplatz" nicht, aber ich habe einen neuen:

net_ratelimit: 44 callbacks suppressed

Die einzigen anderen Nachrichten aus dem gleichen Zeitraum sind diese Marsmenschen. Vielleicht wird das unterdrückt?

Jun  4 07:09:36 ilium ntpd_intres[3575]: host name not found: 0.us.pool.ntp.org
Jun  4 14:17:36 ilium kernel: [25743.259951] net_ratelimit: 44 callbacks suppressed
Jun  4 14:17:36 ilium kernel: [25743.259955] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun  4 14:17:36 ilium kernel: [25743.259956] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:17:58 ilium kernel: [25765.055449] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun  4 14:17:58 ilium kernel: [25765.055451] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:18:43 ilium kernel: [25809.998978] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun  4 14:18:43 ilium kernel: [25809.998980] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:24:11 ilium kernel: [26138.700143] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun  4 14:24:11 ilium kernel: [26138.700145] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:28:42 ilium kernel: [26409.130701] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun  4 14:28:42 ilium kernel: [26409.130703] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Antonius Bloch
quelle

Antworten:

20

' net_ratelimit()' wird verwendet, um Syslog-Nachrichten vom Kernel einzuschränken.
Diese Meldung "Rückrufe unterdrückt" impliziert, dass ein Großteil von 44 Syslog-Meldungen unterdrückt wurde.
Dies ist ein Versuch, das Laden Ihres Syslog-Protokollierungspfads zu vermeiden.

Hier ist die Quellreferenz, wenn Sie interessiert sind:
FreeBSD / Linux-Kernel- Querverweis ; sys / net / core / utils.c ,
ruft sys / lib / ratelimit.c auf -___ratelimit()

Vielleicht möchten Sie Ihre " Marsquelle " untersuchen,
aber wenn Sie sie ignorieren, wird das Ratenlimit die Protokolle verarbeiten
(es ist normalerweise eine gute Idee, unbekannte Protokollquellen zu reparieren).

In Ihrem Fall sieht es so aus, als ob Ihre Martian-Pakete

Ein eingehendes oder ausgehendes Paket, dessen Quell- oder Zieladresse im Bereich 127.0.0.0/8 liegt, der für das Loopback innerhalb des Hosts reserviert ist.

nik
quelle
1
Dies ist auch eine gute Lektüre: zszsit.blogspot.com.br/2012/10/… eine gute Fehlerbehebung für__ratelimit: # callbacks supressed
Marcel