tcpdump - Verzögerung beim Traffic

09/07/2012 - 14:43 von Thomas Barth | Report spam
Hallo,
der Abruf von einem Web-Server ist seit heute bei mir regelmàßig
verzögert (9-10 Sekunden). Ich habe mir deshalb mal auf einem IP-Cop den
Traffic zwischen dem Webserver und einem externen Netz mit tcpdump
angesehen, und dabei ist mir aufgefallen, dass es manchmal immer an der
selben Stelle hakt.

Traffic zwischen zwei Hosts ansehen (eth0=rot):
# tcpdump host web1 and host ip-adresse -i eth0

[...]
13:45:05.005702 IP web1.https > eine.domain.de.51563: P 4053:4112(59)
ack 403 win 7504
13:45:05.239978 IP eine.domain.de.51563 > web1.https: . ack 4112 win 16127

[hier Wartezeit]

13:45:14.959075 IP eine.domain.de.51563 > web1.https: P 403:877(474) ack
4112 win 16127
13:45:14.994523 IP web1.https > eine.domain.de.51563: . ack 877 win 8576
[...]

Was bedeuten denn so Werte wie ., P, F, R nach der zweiten Host-Angabe?
Wenn die Ausgabe nicht ausreicht, was könnte denn noch als Ursache in
Betracht kommen? Das sieht doch schon wieder nach einem Timeout aus,
weil die Dauer der Verzögerung gleich bleibt. Ich hatte letztens schon
so ein àhnliches Verzögerungsproblem beim ssh-Zugang, was ich dann aber
durch einen entsprechenden Eintrag in /etc/nsswitch.conf beheben konnte.
Aber hier geht es jetzt um einen Web-Server hinter einem IP-Cop, der
schon seit Ewigkeiten mit der Konfiguration so làuft.

Gruß, Thomas
 

Lesen sie die antworten

#1 Tim Ritberg
09/07/2012 - 14:59 | Warnen spam
Am 09.07.2012 14:43, schrieb Thomas Barth:
# tcpdump host web1 and host ip-adresse -i eth0

[...]
13:45:05.005702 IP web1.https > eine.domain.de.51563: P 4053:4112(59)
ack 403 win 7504
13:45:05.239978 IP eine.domain.de.51563 > web1.https: . ack 4112 win 16127

[hier Wartezeit]

13:45:14.959075 IP eine.domain.de.51563 > web1.https: P 403:877(474) ack
4112 win 16127
13:45:14.994523 IP web1.https > eine.domain.de.51563: . ack 877 win 8576
[...]

Was bedeuten denn so Werte wie ., P, F, R nach der zweiten Host-Angabe?



S (SYN), F (FIN), P (PUSH), R (RST), W (ECN CWR) or E (ECN-Echo)

Ähnliche fragen