Bandbreite ausgeschöpft

Ein recht interessantes Phänomen hatte ich am Sonntag, und zwar zwischen 16:41 Uhr und 18:17 Uhr: Die Bandbreite dieses Servers hier war komplett erschöpft. Nun hängt die Kiste ja mit 100 MBit/s irgendwo in dieser Nation an einem Switch, also bleiben nur zwei Möglichkeiten, nämlich zum einen ein zielgerichteter DDoS-Angriff oder aber einfach ein sehr, sehr populärer Download.

Bemerkt hatte ich das ganze zum ersten Mal so gegen halb sechs, beim Versuch, via SSH-Login ein paar Dinge nachzuschauen - und die Session blieb andauernd stehen. Zuerst dachte ich mir, daß das wahrscheinlich an dem SiXXS-Tunnel läge, über welchen ich zu Hause und auf dem Server IPv6 bereitstelle - da hakt es des Öfteren mal, und so habe ich mir auch nicht viel dabei gedacht. Um kurz vor 18:00 Uhr erreichten mich jedoch dann die Hilferufe diverser Leute, die einige auf dem Rechner gehostete Webseiten nicht mehr erreichen konnten. Auch der TS2-Server, mit dem man via Internet miteinander reden kann, war mehr oder weniger unbenutzbar. Ein kurzer Blick in das Webinterface beim Hoster sowie ein Anruf bei diesem ergaben dann, daß der Server einfach wirklich deutlich mehr Pakete verschickt, als die Leitung hergibt, und zwar in Form normalen HTTP-Traffics, also kein DDoS-Angriff.

Genau weiß ich bis heute nicht, was passiert ist, aber anscheinend kamen da mehrere Faktoren zusammen: Um 16:41 Uhr wurde von den Update-Servern des ClamAV-Projekts, für die ich die Virendatenbank spiegele, ein Update eben jener Signaturen angestoßen und ging schief. Kurze Zeit später versuchten nicht nur hunderte von Clients, die letzte Version der Virendefinitionen herunterzuladen, sondern auch ebensoviele Clients, eine andere Datei, nämlich die nur einmal täglich aktualisierte daily.cvd abzugreifen. Zusammen war das dann das Ende der Bandbreite.

Nachdem ich das Update nochmal per Hand angestoßen hatte, ging der Traffic dann auf normalwerte zurück. Ich weiß leider immer noch nicht, ob das nur zeitliche Koinzidenz war, oder ob das Problem wirklich alle Spiegelserver betroffen hat und mein Update zufällig mit einem automatisierten Update der anderen Mirrors zusammenfiel, so daß sich die Situation entspannt hat - eine Anfrage auf der Mailingliste clamav-mirrors hat jedenfalls bisher kein Licht ins Dunkel gebracht.

Auf jeden Fall ist mir nach dieser Geschichte ein winziger Konfigurationsfehler in meinem mod_cband aufgefallen, den ich jetzt beseitigt habe. Hoffentlich bleibe ich von solchen Pleiten damit in Zukunft verschont.

Ansonsten: Bizet - die Carmen Suite. Damit der Tag auch ja gut anfängt.