bonjour, j'ai ces logs depuis un moment, et bon voila je souhaiterais savoir si c'est un pb ou pas d'avoir ça très souvent pour pas dire hyper souvent . http://img265.imageshack.us/my.php?image=lnsre5.jpg merci.
Bonjour, Cela peut apparaitre si vous avez un grand nombre de connexions TCP qui s'ouvrent et se ferment, lors de l'utilisation par exemple d'un logiciel P2P. Il peut s'agir de vraies alertes (vous recevez des paquets sur des connexions TCP qui ne vous concernent pas) ou d'un problème de dimmensionnement de la table du TCP SPI. Il est possible d'augmenter la taille de cette table en créant ou modifiant la valeur MaxSPIEntries dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw]. Par défaut c'est à 256, il est possible d'y mettre 512 ou 1024. Combien de ces alertes avez-vous, par minute/heure ? Pourriez-vous regarder quels sont les flags TCP sur quelques-uns de ces paquets, pour voir si c'est toujours la même chose ou non. Cordialement, Frédéric
j'ai deja la table du TCP SPI. à 1024 En minutes je dirais selon mes pique de connexion important en TCP environ 20 fois
En faisant du P2P ou non ? Si oui, combien de connexions simultanées ? Il faudrait jeter un oeil aux flags TCP pour voir quels types de paquets sont concernés. Frédéric
Slt c'est pas avec du réseau P2p , c'est des transfert par clientFXP et le nombre de connexion ( du client FXP ) atteint selon des moment jusqu a 80 ou 90 connexion TCP. c'est-à-dire les type flag ? voici 2 impr syst prit au hazard avec les 2 directions. ( c'est dans le cas ou je suis connecte a des machines distantes et que FXP des données en eux , pas du téléchargement ou upload avec mon pc local)
Bonjour, Ce qui compte c'est la partie "U A P S R F" et ceux qui sont à un. Donc sur la copie d'écran on a A(CK) + S(YN) et A(CK) + F(IN). Il s'agit de paquets de contrôle, sur des connexions qui s'établissent ou se ferment, mais pas sur des connexions en cours. Il faudrait regarder à la main sur plusieurs paquets (une dizaine par exemple) ce qui revient le plus souvent. Lors d'un trafic important il arrive que certains paquets soient reçus trop tard et donc jetés. Il est possible de modifier certaines temporisations dans la base des registres pour tenter de limiter cela (en laissant plus de temps à des connexions en train de s'établir ou de se fermer, d'accepter des paquets tardifs), mais c'est du tuning qui peux prendre un certain temps. Si vous êtes interessé, je peux indiquer les clefs de la base de registre concernées. Cordialement, Frédéric
Bjour Pour les U A P S R F qui reviennent le plus souvent: la palme va a 010010 les autres sont légèrement moins souvent 011000 011001 010001 merci
Bonjour, L'ordre des flags est normalement U A P R S F. Je suppose que 010010 est bien Ack+Syn, et que le sens des paquets est plutôt Internet>>PC pour cette combinaison. Dans ce cas il s'agit d'acceptations tardives de la connexion du coté du distant (> 20 secondes, par défaut). Il est possible d'ajouter la valeur DWORD "TCPSPITimeoutReuseConnecting" dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw] (à créer si cette clef n'existe pas) pour augmenter ce délai. C'est en ms, donc y mettre par exemple 40000 pour passer à 40 secondes. Il faut rebooter pour que ça prenne effet. La question qu'on va me poser: "mais pourquoi ne pas mettre carrément 1 h, pour être tranquille ". => parce que la conséquence est que la table (limitée à 1024) va alors se remplir avec des entrées en instance de connexion/attente du site distant, et au bout d'un certain temps, plus aucune vraie connexion va être acceptée (ce qui va générer d'autres alertes TCP SPI plus embêtantes, et significatives en impactant vraiment le débit cette fois). Bref, il y a donc un bon compromis à trouver. Cordialement, Frédéric
Oui Ack+Syn et oui c'est Internet>>PC J vais tester d ajoute la DWORD a 40000ms Merci Édite: Modification faite, je te dirais comment sa à réagir.
Bsoir, le rapport est positif , sur les presque 2 semaines bcp moins d'annonce du spi sur 010010 merci