Problema SYN_SENT

di **Sh4nK** » 28/04/03 17:48

Salve a tutti, sono un netgamer, e ultimamente mentre gioco online comincio inspiegabilmente a laggare; allora esco dal gioco, e senza avere nessuna applicazione avviata (icq, msn, irc, ecc), neanche in background, vedo l'iconcina di rete con i due monitorini accesissimi!!! Faccio doppio clik sulle propietà e vedo che non si sa bene perché dal mio pc ci sta una fuga di dati impressionante che mi satura la banda.

Ora... io non sono molto pratico di reti, ma per quel poco che ne so, mi é venuto in mente di aprire una shell di dos e scrivere netstat; do l'enter, e mi vedo una sfilza di connessioni attive in stato SYS_SENT. Non ho idea di cosa siano sti sys_sent e non ho idea di dove provengano ste connessioni attive... però a quanto pare sono loro che mi fanno laggare. Qualcuno sa aiutarmi per eliminare questo problema???

thx per un help. saluti

di **eduardroccatello** » 28/04/03 19:41

il pacchetto syn è il primo pacchetto del tcp handshaking.
vuol dire che quelle porte hanno mandato una richiesta di connessione ma non è arrivato indietro ne rst ne syn/ack che sono rispettivamente i pacchetti di reset e di "ok puoi connetterti"

cerca di capire cosa manda e soprattutto dove con uno sniffer

di **Sh4nK** » 28/04/03 21:05

eduardroccatello ha scritto:il pacchetto syn è il primo pacchetto del tcp handshaking.
vuol dire che quelle porte hanno mandato una richiesta di connessione ma non è arrivato indietro ne rst ne syn/ack che sono rispettivamente i pacchetti di reset e di "ok puoi connetterti"

cerca di capire cosa manda e soprattutto dove con uno sniffer

Mi puoi consigliare uno sniffer??? E magari darmi direttamente il link per scarikarlo??? thx

di **kadosh** » 28/04/03 23:14

Il problema dei flussi incontrollati durante giochi in rete è normale. Spesso capita che il server, sovraccarico dalle richieste in arrivo, inizi a non poter più rispondere a tutti con pacchetti corretti dato che alcuni si perdono per strada, ed essendo il TCP un protocollo sicuro richiede sempre la conferma di ricezione del pacchetto. Quindi il pc si ritrova ad inviare richieste che però, causa colli di bottiglia sparsi sul server e nella banda, non vengono evase ed il PC continua a mandare syn_sent a tutto spiano...questo finchè il TTL non scade e riazzera il Forward Delay creandosi un nuovo Path Cost per il server.
In genere i parametri sopra menzionati dipendono dall'ampiezza della VLAN in cui sono contenuti, e l'unico modo per ottimizzarli sarebbe quello di poter mettere mano ai Bridge che li connettono, ma come immaginerai...non è fattibile dato che ognuno ha le sue esigenze.
Questo, andando a stringere, è in pratica il funzionamento di una BLAN (Bridged LAN) basata su STP (Spanning Tree Protocol) o RSTP (Rapid STP)...praticamente tutte......o quasi...escludendo le reti militari, che usano per lo più un sistema a reti parallele.

di **Sh4nK** » 29/04/03 15:59

thx della spiegazione tecnica, ma per dire, io gioco a quake 3 arena, ed oggi non ho ankora mai aperto il gioco... in questo momento ho tutti i prog chiusi e in background ci sta solo lo stretto necessario, e la mia connex é satura lo stesso. Quindi il problema da te descritto non é il mio caso. Dovrò sniffare il mio pc

... mi consigliate un buon sniffer pf???

di **kadosh** » 29/04/03 17:56

Più che altro ti consiglio di vedere se hai qualche trojan interno, se hai qualche live update automatico dei prog installati, win compreso.

di **zello** » 29/04/03 18:04

syn flood. Vecchio giochino dei lamer. Tempo fa faceva venire giù il sistema. Trova l'origine, notifica l'amministratore (ammenoché non sia wanadoo.fr, al che non vedo soluzioni se non bloccare la loro rete ai border routers, ammesso che tu ne abbia il controllo).

Ciao

di **pjfry** » 29/04/03 18:56

non basta un firewall per vedere l'origine? o anche netstat? trovi gli ip e poi fai il whois... o chiedi

di **kadosh** » 29/04/03 22:42

Dipende dalla struttura della BLAN. Gli standard di costruzione dei bridge perimetrali hanno parametri fissi in base al numero di macchine che teoricamente ricadono nella loro sottorete. Se però riesci ad entrarne in una, principalmente dei Catalyst Cisco, il vecchio trucco di abbassare di molto il tempo di convergenza dell'STP di quel bridge causa parecchi disservizi...uno dei quali è il flood di chi ci sta dentro. Se hai un router puoi rimediare sulla tua rete locale, altrimenti...guardi gli eventi fin quando qualche admin rimbambito non si svegli e si accorga che han preso il suo bridge per un casello con Telepass illimitato.

di **pjfry** » 29/04/03 22:55

mi sono un pò perso... ma questa BLAN dove si troverebbe esattamente??? dipende dal provider di sh4nk oppure il problema può nascere in un punto qualsiasi di internet? e cmq dagli ip da cui partono i syn non si può risalire all'amministratore della rete incasinata?

di **kadosh** » 29/04/03 23:24

Il discorso non è semplice purtroppo. Una BLAN è una rete formata da Bridge perimetrali, ed immagina per perimetro qualcosa di molto astratto, dipendente da un tempo di convergenza del segnale e dalla porta usata per inviarlo.
Chi manda un syn_hack, prima passo di negoziazione dell'handshake del tcp, riceverà un syn_sent dal primo bridge della route (percorso) in questione. Se però il datagramma non giunge a destinazione al bridge non frega molto, lui ti dirà cmq che è stato inviato passando per la sua designated port (porta prioritaria d'invio) ad un altro bridge in stato di listening. Metti il caso che il bridge di destinazione sia isolato, problema nella rete, filo tranciato, lavori in corso etc...il pacchetto lo mando a vuoto...ma se il tempo di convergenza non è ottimizzato, e dipende da tanti fattori come ad esempio il numero di hop, allora prima che mi arrivi un msg di mancato recapito ne avrò mandati parecchi e parecchi altri di datagrammi...intasando la rete.
Simulare un disservizio sulla rete è fattibile...basta sovraccaricare un bridge (detto così sembra facile ma vi assicuro che bisogna essere pazienti e cocciuti), e chi sfortunatamente attraversa quel pezzo di rete...ne paga le conseguenze.
Non è chiaro ma per oggi...questo passa il convento

di **pjfry** » 29/04/03 23:34

vero, proprio non è chiaro... i bridge che conosco io ( solo in teoria

) dovrebbero essere dispositivi stupidi, di secondo livello osi... quindi perchè manderebbero il syn_sent?

di **kadosh** » 30/04/03 08:39

Semplicemente perchè i gli appareti di rete comunemente chiamati hub/switch di uso comune si appoggiano a bridge che lavorano al 3° livello osi (switched/bridged LAN) ed ora anche al 4°. Un libro non basta ad esaurire i dubbi sull'argomento, dato che tutto dipende dall'algoritmo STP ottimizzato di volta in volta.

di **pjfry** » 30/04/03 10:27

boh... vedrò di ducumentarmi...

però secondo me se le connessioni sono in stato syn_sent, e ci restano, significa che le impostazioni sbagliate ce le dovrebbe avere sh4nk in locale,no? in fondo i syn partono dal suo Pc e evidentemente non torna il relativo ack...

di **kadosh** » 01/05/03 10:23

pjfry non è cosa facile come ti sembra; syn_sent non è uno stato acquisito ma solo un momento di passaggio tra uno stato di forwarding ad uno di learning. Il pacchetto inviato non dipende dalla sua macchina ma dalla rete in cui si trova e da altri fattori strettamente legati al root bridge della suddetta rete. Un pc che invia dati, non si mette poi in stato di listening tipo donna col fazzoletto bianco che saluta il povera caro in partenza aspettandone il ritorno eheheh...il pc continua a farsi gli affari suoi sino a quando non ritorna un pacchetto di risposta su di una porta designata specificata nell'header del precedente.
Meglio fermar qui il discorso...è davvero vasto...

di **pjfry** » 01/05/03 11:36

ok, chiudiamo in attesa di notizie da parte di sh4nk ( mi piacerebbe sapere com'è andata a finire

)

di **Sh4nK** » 01/05/03 11:59

Bah, da qualche giorno non mi da più problemi di syn_sent, appena si verifica provvedo a fare dei whois e vi informo.

Ammazza, é tosta sta cosa ne

di **pjfry** » 01/05/03 12:05

kadosh ha scritto:...guardi gli eventi fin quando qualche admin rimbambito non si svegli e si accorga che han preso il suo bridge per un casello con Telepass illimitato.

si vede che si è svegliato,allora

di **Sh4nK** » 02/05/03 19:26

Penso di aver trovato la soluzione al problema, ma non ne sono sikuro, ditemi voi:

Dal netstat, mi sono accorto che tutti gli ip che comparivano, avevano il mio stesso dominio (cioé quello del mio provider), allora, visto che uso un modem adsl usb, per far funzionare la mia connessione, al momento dell'installazione ho dovuto installare un programmino (winpoet) che mi hanno fornito insieme al modem, che mi permette di usare il protocollo PPPoE. Questo programmino infatti mi ha creato una connessione remota col suo nome, ed ha permesso che il mio modem usb venisse visto come skeda di rete, e mi ha quindi creato anche una nuova connessione di rete... in questa connessione di rete erano attivi il client per reti microsoft e la condivisione stampanti di rete.
Ora, probabilmente i syn_sent, avvenivano perché avevo questi servizi attivati (come tutti quelli che hanno adsl presso il mio provider), e in un qualche modo il mio pc, come suppongo quelli di tutti gli altri, cercavano di comunicare con i pc del propio dominio. Io quei servizi li ho rimossi, ed ora spero di non laggare mai più.
Pensate che sia questo il problema??? È possibile???

Ciauz.

Problema SYN_SENT

Problema SYN_SENT

Topic correlati a "Problema SYN_SENT":

Chi c’è in linea