Log : unexpectedly shrunk window

Kero · 23 mai 2015

Coucou tout le monde !

En éditant quelques règles et en vérifiant dans les logs, je suis tombé sur ceci :

May 23 11:47:43 Maseedbox kernel: [ 2761.424784] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2091218780:2091223160 (repaired)
May 23 11:47:43 Maseedbox kernel: [ 2761.888509] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2091218780:2091223160 (repaired)
May 23 11:47:46 Maseedbox kernel: [ 2764.375879] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2091706420:2091719560 (repaired)
May 23 11:47:48 Maseedbox kernel: [ 2766.551351] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2092284580:2092300640 (repaired)
May 23 11:47:48 Maseedbox kernel: [ 2767.007236] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2092284580:2092300640 (repaired)
May 23 11:47:51 Maseedbox kernel: [ 2769.414655] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2092835000:2092851992 (repaired)
May 23 11:47:53 Maseedbox kernel: [ 2771.590124] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2093502768:2093520288 (repaired)
May 23 11:47:53 Maseedbox kernel: [ 2772.054017] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2093502768:2093520288 (repaired)
May 23 11:47:56 Maseedbox kernel: [ 2774.833342] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2094152468:2094169988 (repaired)
May 23 11:47:57 Maseedbox kernel: [ 2775.289231] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2094152468:2094169988 (repaired)
May 23 11:47:58 Maseedbox kernel: [ 2776.201005] Peer 212.198.200.196:54826/45000 unexpectedly shrunk window 2094152468:2094169988 (repaired)

Je suppose que vous avez le même dans vos logs non?
J'ai été étonné qu'une recherche ici ne m'a rien donné et donc j'en déduis que je suis le seul à regarder mes logs

(#joke)

Ceci étant,avez vous si vous l'avez, analysé le pourquoi? J'ai pensé aux trackers Torrent mais j'ai un doute.
De mon côté j'ai ajouté une règle a mon Fail2ban histoire de calmer les ardeurs de certains car a force, j'arrive plus à lire mes logs tellement c'est envahi.

Dans l'attente....
Salutations !

BXT · 23 mai 2015

J'ai très souvent ça aussi, je sais pas d'où ça vient

EDIT: Je pense aussi que ça vient des trackers

Solinvictus · 23 mai 2015

Idem, j'en ai aussi, et je penche pour les TKs également.

Kero · 23 mai 2015

Bah c'est justement ca la question !

Les ip's, en majorité mais pas que sont de France.....et plus axé sur Numericable.
Si tout le monde me retourne la même réponse, bah je vais laisser mon #Ban actif = tentative 1

[Definition]
failregex = TCP\: Peer <HOST>\:.* unexpectedly shrunk window.*repaired+
ignoreregex =

BXT · 23 mai 2015

Euh par contre, bannir pour ça c'est débile

C'est pas une tentative de DDoS/something else.. Juste une mauvaise encapsulation des packets il me semble

Kero · 23 mai 2015

Si c'est du tracker oui sans utilité, si par contre c'est autre chose -> pas sa place chez moi.
Je tics sérieusement sur les ports utilisés mais le problème là aussi c'est que ce Range est vraiment un fourre tout.

Analyse les IP chez toi et regarde si c'est du 100% (ou presque) numericable.... si oui faut m'expliquer

BXT · 23 mai 2015

rTorrent emploie un peu tout et rien en range, donc ça vient de là

Solinvictus · 23 mai 2015

Par rapport à ça, on trouve :

This normally occurs when a client decides to reduce its TCP window size, without the server expecting it. This can be the case when fragmentation is an issue, or when the client is using an embedded device with very little NIC buffer memory. This is a completely normal behaviour, and you're likely to see quite a few such packets in your log. The messages are informational only, and are used to debug networking issues.

I'd be worried if you saw hundreds of thousands of these packets, since there are attacks that involve packet fragmentation and small window sizes, but otherwise it's just the normal sort of noise you should expect to see on any internet-facing network. In fact, the "repaired" part of your message is showing that your network driver fixed the issue, which is usually done by concatenating the payloads of two fragmented packets together. Shouldn't be an issue at all.

Kero · 23 mai 2015

Mouais, en fouillant un peu plus loin/profondément sur le web, il "semble " effectivement que c'est du Torrent.
Néanmoins, bizarre que c'est 'que' numericable.

BXT · 23 mai 2015

Bien sur que c'est du torrent..

Par contre, on m'a informé que c'était normal: Le client ne peut pas recevoir un packet d'un MTU de 1500 (Par défaut), donc le serveur le recapsule en plus petit packet

Kero · 23 mai 2015

BXT wrote:Bien sur que c'est du torrent..

Par contre, on m'a informé que c'était normal: Le client ne peut pas recevoir un packet d'un MTU de 1500 (Par défaut), donc le serveur le recapsule en plus petit packet

Bon. Ben voilà qui sera clôturé alors. Je vire mon filtre/règle.