[General] Problemas al cargar paginas webs

Rodolfo Alcazar Portillo rodolfo.alcazar en padep.org.bo
Mar Mar 3 10:15:29 BOT 2009 

Am Montag, den 02.03.2009, 22:03 -0400 schrieb Mario César:
> 2009/2/27 Rodolfo Alcazar Portillo <rodolfo.alcazar en padep.org.bo>:
> > Am Donnerstag, den 26.02.2009, 18:11 -0400 schrieb R. Alejandro Oquendo
> > capa 3, verifica con tracert/mtr que las rutas son correctas;
> ok, no se bien sobre esto, pero hice tracert a facebook, aqui esta la salida
> $ sudo tracert facebook.com
> traceroute to facebook.com (69.63.178.11), 30 hops max, 40 byte packets
>  1  192.168.0.1 (192.168.0.1)  1.474 ms  1.583 ms *
>  2  * * *
>  3  * * *
>  4  * * *
>  5  * * *
>  6  * So4-0-2-0-grtmiabr2.red.telefonica-wholesale.net (84.16.10.241)
> 159.259 ms  178.897 ms
>  7  * * *
>  8  * * *
>  9  * * *
> 10  * * *
> 11  * * as-3.r20.snjsca04.us.bb.gin.ntt.net (129.250.2.167)  246.027 ms
> 12  ae-1.r21.plalca01.us.bb.gin.ntt.net (129.250.5.32)  260.183 ms
> 284.092 ms  300.107 ms
> 13  xe-4-1.r04.plalca01.us.bb.gin.ntt.net (129.250.4.122)  356.000 ms
> 364.316 ms  371.814 ms
> 14  xe-4-3.r04.plalca01.us.ce.gin.ntt.net (140.174.21.2)  376.301 ms
> 392.861 ms  411.603 ms
> 15  xe-1-0-0.br02.snc1.tfbnw.net (204.15.23.250)  431.624 ms  503.958
> ms  508.641 ms
> 16  te-12-0.csw01a.snc1.tfbnw.net (204.15.23.234)  515.977 ms  520.081
> ms  535.854 ms
> 17  www.02.01.snc1.facebook.com (69.63.178.11)  243.799 ms  279.694 ms
>  291.542 ms

El problema es muy curiosos, solo como un ejemplo, mira mi salida, en el
hop 11 tengo 5% de pérdida. Esa suele ser intencional (algunos routers
detectan los pingfloods y descartan respuestas repetidas). Probablemente
puedes tener pérdidas en los hops 1 a 4, es decir, en la misma ciudad
donde estás. 

# mtr -c 20 -r facebook.com

HOST: xx.padep.org.bo             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. static-200-105-132-193.acele  0.0%    20    0.8   0.7   0.7   0.8   0.0
  2. static-200-105-128-21.aceler  0.0%    20   10.3  13.0   5.1  25.0   4.6
  3. static-200-105-128-10.aceler  0.0%    20   25.4  20.7   5.9  26.8   4.9
  4. 12.118.175.9                  0.0%    20   97.5 104.3  92.4 114.4   5.4
  5. cr2.ormfl.ip.att.net          0.0%    20  114.1 121.9 114.1 135.6   5.2
  6. cr1.attga.ip.att.net          0.0%    20  128.9 125.0 106.1 157.9   9.8
  7. ggr4.attga.ip.att.net         0.0%    20  117.0 155.8 116.7 333.9  67.8
  8. 192.205.35.90                 0.0%    20  117.5 121.5 107.1 132.7   5.3
  9. 64.215.24.182                 0.0%    20  177.4 182.2 166.6 245.1  17.0
 10. xe-4-0-0.br01.sf2p.tfbnw.net  0.0%    20  177.2 184.4 164.6 247.7  19.1
 11. te-6-0.csw05a.sf2p.tfbnw.net  5.0%    20  179.7 187.0 165.2 274.7  22.6
 12. www.04.05.sf2p.facebook.com   5.0%    20  190.2 181.6 173.6 190.2   4.7

> Me parece que resuelve correctamente, no se como interpretarlo.
> tambien use mtr, y resolvio en 17 saltos igual que traceroute
> Capa 3: No puedo sacar una conclusión

Y es probable que el problema sea en esta capa o en las 2/1. Lo curioso
fue lo de la autonegociación.

> > capa 4, verifica con tethereal/tcpdump que el handhake y las petticiones
> > son apropiadas;
> no se como confirmar esto.

Por ejemplo, en mi firewall local hago:

# tethereal host www.padep.org.bo
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0

Luego, desde mi PC, hago

> telnet www.padep.org.bo 80
Trying 192.168.1.10...
Connected to www.padep.org.bo.
Escape character is '^]'.

En el firewall debes ver el triple handshake (SYN, SYN/ACK, ACK, con lo que la conexión TCP está establecida):

  0.000000   10.0.0.141 -> 192.168.1.10 TCP 40743 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=10180183 TSER=0 WS=6
  0.000521 192.168.1.10 -> 10.0.0.141   TCP http > 40743 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=3049829983 TSER=10180183 WS=4
  0.000922   10.0.0.141 -> 192.168.1.10 TCP 40743 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=10180184 TSER=3049829983

Ahora establecida la conexión, nuevamente en mi PC hago:

GET /

-estoy pidiendo la página principal, y me debe responder algo como...

<script language="JavaScript">
    location.href = "www/index.php";
</script>
Connection closed by foreign host.

- Eso, para mi propia página. En el Firewall debo ver lo siguiente:

- Mi solicitud:
  7.035641   10.0.0.141 -> 192.168.1.10 TCP [TCP segment of a reassembled PDU]

- La respuesta del servidor (la página web que ves arriba, un javascript):
  7.036135 192.168.1.10 -> 10.0.0.141   TCP http > 59222 [ACK] Seq=1 Ack=8 Win=5792 Len=0 TSV=3050182569 TSER=10532862
  7.036885 192.168.1.10 -> 10.0.0.141   HTTP Continuation or non-HTTP traffic
  7.037134 192.168.1.10 -> 10.0.0.141   TCP http > 59222 [FIN, ACK] Seq=81 Ack=8 Win=5792 Len=0 TSV=3050182571 TSER=10532862

_ Mi acknowledge y cierre de conexión:
  7.037298   10.0.0.141 -> 192.168.1.10 TCP 59222 > http [ACK] Seq=8 Ack=81 Win=5888 Len=0 TSV=10532863 TSER=3050182570
  7.037407   10.0.0.141 -> 192.168.1.10 TCP 59222 > http [FIN, ACK] Seq=8 Ack=82 Win=5888 Len=0 TSV=10532863 TSER=3050182571
  7.037634 192.168.1.10 -> 10.0.0.141   TCP http > 59222 [ACK] Seq=82 Ack=9 Win=5792 Len=0 TSV=3050182571 TSER=10532863

Te sugiero leer en wikipedia cómo es una conexión TCP, y conociéndola y
sabiéndola trazar con tethereal, puedes hallar problemas viendo el
comportamiento a bajo nivel de tu conexión.

> > capa 7, verifica que no tienes problemas de aplicaciones, rootkits,
> > virus, navegador, proxy, etc.
> 
> No se como validar este paso, no uso proxy, el problema es igual en
> todos los navegadores, ya probe con 6, incluyendo emular con wine
> safari. Virus? Dios, no quiero ni pensar que mi Ubuntu tiene un Virus.

Aparte de la sugerencia que te dieron, rootkits (rkhunter/chkrootkit), y
que no hayas tocado los MANGLE de tu firewall, creería que el problema
son los parámetros de conexión de tu TCP, por cómo se comportó la
conexión tras un cambio de parámetros de autonegociación. Entonces,
puede ser un bug, que afecte a la capa 3, ya sea del kernel, del driver
de tu tarjeta, o hasta de tu switch. Talvez con mi ejemplo puedes trazar
tus conexiones y ver comportamientos extraños en las conexiones TCP, por
ejemplo.

Cuéntanos cómo te fue.
-- 
Rodolfo Alcazar
Responsable red y datos

Deutsche Gesellschaft für
Technische Zusammenarbeit (GTZ) GmbH

Programa de Apoyo a la Gestión Pública Descentralizada y
Lucha Contra La Pobreza - PADEP
Av. Sánchez Lima 2226
La Paz, Bolivia

Tel: +591 22417628 (121)
Fax: +591 22417628 (126)
Web: www.padep.org.bo
Email: rodolfo.alcazar en padep.org.bo

Más información sobre la lista de distribución general