Bonjour,

J'ai le soucis suivant :

un serveur AIX version 5.2 envoi des ICMP echo request vers une machine
distante mais je n'arrive pas a intercepter le process responsable de ca

le probleme est que cela declenche des connexion NUMERIS donc payante

tcpdump me donne bien l'adresse de source comme le serveur (ethereal aussi)

par contre a part lsof comment faire pour connaitre le processus responsable

surtout que c'est regulier toutes les 11 minutes puis 1 minutes puis 11
mn ...

un root kit ?

quelqu'un a une idée pour ce problème ?

A+
chris

Le 4 mai 2007 à 13:35:13 +0200, Chris a écrit :
>
> J'ai le soucis suivant :
>
> un serveur AIX version 5.2 envoi des ICMP echo request vers une machine
> distante mais je n'arrive pas a intercepter le process responsable de ca
>
> le probleme est que cela declenche des connexion NUMERIS donc payante
>
> tcpdump me donne bien l'adresse de source comme le serveur (ethereal aussi)
>
> par contre a part lsof comment faire pour connaitre le processus responsable
>
> surtout que c'est regulier toutes les 11 minutes puis 1 minutes puis 11
> mn ...
>
> un root kit ?
>
> quelqu'un a une idée pour ce problème ?
>
C'est le « PMTU Discovery » qui est actif par défaut sur AIX (depuis AIX
4.2 ou 4.3).

On peut le désactiver avec le programme "no" (cf. "man no") :
/usr/sbin/no pmtu_rediscover_interval=0

C'est dynamique, il n'est pas nécessaire de redémarrer.

Si on souhaite rendre la modification permanente (c'est-à-dire qui
résiste aux redémarrages), il faut ajouter la commande à "rc.local" ou
équivalent.


Loïc.

Le 4 mai 2007 à 13:35:13 +0200, Chris a écrit :
>
> J'ai le soucis suivant :
>
> un serveur AIX version 5.2 envoi des ICMP echo request vers une machine
> distante mais je n'arrive pas a intercepter le process responsable de ca
>
> le probleme est que cela declenche des connexion NUMERIS donc payante
>
> tcpdump me donne bien l'adresse de source comme le serveur (ethereal aussi)
>
> par contre a part lsof comment faire pour connaitre le processus responsable
>
> surtout que c'est regulier toutes les 11 minutes puis 1 minutes puis 11
> mn ...
>
> un root kit ?
>
> quelqu'un a une idée pour ce problème ?
>
C'est le « PMTU Discovery » qui est actif par défaut sur AIX (depuis AIX
4.2 ou 4.3).

On peut le désactiver avec le programme "no" (cf. "man no") :
/usr/sbin/no tcp_pmtu_discover=0
/usr/sbin/no udp_pmtu_discover=0

C'est dynamique, il n'est pas nécessaire de redémarrer.

Si on souhaite rendre la modification permanente (c'est-à-dire qui
résiste aux redémarrages), il faut ajouter la commande à "rc.local" ou
équivalent.


Loïc.

Loic Tortay a écrit :
> Le 4 mai 2007 à 13:35:13 +0200, Chris a écrit :
>> J'ai le soucis suivant :
>>
>> un serveur AIX version 5.2 envoi des ICMP echo request vers une machine
>> distante mais je n'arrive pas a intercepter le process responsable de ca
>>
>> le probleme est que cela declenche des connexion NUMERIS donc payante
>>
>> tcpdump me donne bien l'adresse de source comme le serveur (ethereal aussi)
>>
>> par contre a part lsof comment faire pour connaitre le processus responsable
>>
>> surtout que c'est regulier toutes les 11 minutes puis 1 minutes puis 11
>> mn ...
>>
>> un root kit ?
>>
>> quelqu'un a une idée pour ce problème ?
>>
> C'est le « PMTU Discovery » qui est actif par défaut sur AIX (depuis AIX
> 4.2 ou 4.3).
>
> On peut le désactiver avec le programme "no" (cf. "man no") :
> /usr/sbin/no tcp_pmtu_discover=0
> /usr/sbin/no udp_pmtu_discover=0
>
> C'est dynamique, il n'est pas nécessaire de redémarrer.
>
> Si on souhaite rendre la modification permanente (c'est-à-dire qui
> résiste aux redémarrages), il faut ajouter la commande à "rc.local" ou
> équivalent.
>
>
> Loïc.
>
Merci beaucoup pour cette réponse
cela sent le vécu non ?

A+
chris