question de logs SPI

Discussion in 'LnS French Forum' started by zozot, Mar 31, 2008.

Thread Status:
Not open for further replies.
  1. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Cela peut apparaitre si vous avez un grand nombre de connexions TCP qui s'ouvrent et se ferment, lors de l'utilisation par exemple d'un logiciel P2P.
    Il peut s'agir de vraies alertes (vous recevez des paquets sur des connexions TCP qui ne vous concernent pas) ou d'un problème de dimmensionnement de la table du TCP SPI.
    Il est possible d'augmenter la taille de cette table en créant ou modifiant la valeur MaxSPIEntries dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw].
    Par défaut c'est à 256, il est possible d'y mettre 512 ou 1024.

    Combien de ces alertes avez-vous, par minute/heure ? Pourriez-vous regarder quels sont les flags TCP sur quelques-uns de ces paquets, pour voir si c'est toujours la même chose ou non.

    Cordialement,

    Frédéric
     
  3. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    j'ai deja la table du TCP SPI. à 1024

    En minutes je dirais selon mes pique de connexion important en TCP
    environ 20 fois
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    En faisant du P2P ou non ? Si oui, combien de connexions simultanées ?
    Il faudrait jeter un oeil aux flags TCP pour voir quels types de paquets sont concernés.

    Frédéric
     
  5. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    Slt

    c'est pas avec du réseau P2p , c'est des transfert par clientFXP et le nombre de connexion ( du client FXP ) atteint selon des moment jusqu a 80 ou 90 connexion TCP.

    c'est-à-dire les type flag ?

    voici 2 impr syst prit au hazard avec les 2 directions. ( c'est dans le cas ou je suis connecte a des machines distantes et que FXP des données en eux , pas du téléchargement ou upload avec mon pc local)
     

    Attached Files:

    Last edited: Apr 12, 2008
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Ce qui compte c'est la partie "U A P S R F" et ceux qui sont à un.
    Donc sur la copie d'écran on a A(CK) + S(YN) et A(CK) + F(IN). Il s'agit de paquets de contrôle, sur des connexions qui s'établissent ou se ferment, mais pas sur des connexions en cours. Il faudrait regarder à la main sur plusieurs paquets (une dizaine par exemple) ce qui revient le plus souvent.
    Lors d'un trafic important il arrive que certains paquets soient reçus trop tard et donc jetés.
    Il est possible de modifier certaines temporisations dans la base des registres pour tenter de limiter cela (en laissant plus de temps à des connexions en train de s'établir ou de se fermer, d'accepter des paquets tardifs), mais c'est du tuning qui peux prendre un certain temps. Si vous êtes interessé, je peux indiquer les clefs de la base de registre concernées.

    Cordialement,

    Frédéric
     
  7. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    Bjour

    Pour les U A P S R F qui reviennent le plus souvent:
    la palme va a 010010
    les autres sont légèrement moins souvent
    011000
    011001
    010001

    merci
     
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    L'ordre des flags est normalement U A P R S F.
    Je suppose que 010010 est bien Ack+Syn, et que le sens des paquets est plutôt Internet>>PC pour cette combinaison.

    Dans ce cas il s'agit d'acceptations tardives de la connexion du coté du distant (> 20 secondes, par défaut).
    Il est possible d'ajouter la valeur DWORD "TCPSPITimeoutReuseConnecting" dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw] (à créer si cette clef n'existe pas) pour augmenter ce délai.
    C'est en ms, donc y mettre par exemple 40000 pour passer à 40 secondes. Il faut rebooter pour que ça prenne effet.

    La question qu'on va me poser: "mais pourquoi ne pas mettre carrément 1 h, pour être tranquille o_O ".
    => parce que la conséquence est que la table (limitée à 1024) va alors se remplir avec des entrées en instance de connexion/attente du site distant, et au bout d'un certain temps, plus aucune vraie connexion va être acceptée (ce qui va générer d'autres alertes TCP SPI plus embêtantes, et significatives en impactant vraiment le débit cette fois).
    Bref, il y a donc un bon compromis à trouver.

    Cordialement,

    Frédéric
     
  9. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    Oui Ack+Syn et oui c'est Internet>>PC

    J vais tester d ajoute la DWORD a 40000ms

    Merci


    Édite:

    Modification faite, je te dirais comment sa à réagir.
     
    Last edited: Apr 25, 2008
  10. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    Bsoir,

    le rapport est positif , sur les presque 2 semaines bcp moins d'annonce du spi sur 010010

    merci
     
Thread Status:
Not open for further replies.