hohe Ping-Antwortzeit trotz wenig Traffic

[theton]

Hi,

ich habe hier ein ziemlich (zumindest in meinen Augen) seltsames Problem. Alle unsere Server haben Ping-Antwortzeiten von unter 3ms, bis auf eine Ausnahme. Dieser eine Server bringt es auf mehr als 15ms, obwohl definitiv kaum Traffic da ist (habe ich mit tcpdump ueberprueft). Die Load Average ist nie ueber 1, also kann es auch nicht an einer Ueberlastung des Servers liegen. Es handelt sich dabei um einen Rechner mit 2 mal 3GHz, 4GB RAM und 250GB Hardware-RAID1. Als OS ist Debian Sarge installiert. Darauf laufen momentan eine MySQL und ein JBoss-Server, die aber (momentan noch) kaum Last verursachen.
Ich habe schon alles moegliche versucht, bis hin zum Tuning der Sysctl-Einstellungen. Hat evtl. irgendwer eine Idee, woran das noch liegen koennte?

 

[damager]

es wäre eher die netzwerk-daten (anbindung / bandbreite / auslastung) interessant....
server im selben lan (an einem router)?

 

[theton]

Der Server ist mit 100MBit redundant angebunden (heisst, es gibt eine zweite 100MBit-Leitung fuer den Notfall) und hat momentan ein Transfervolumen von weniger als 1 Megabyte pro Stunde. Es gibt keinen zentralen Router, so dass ich Probleme beim Routing ausschliessen kann (die Vermutung hatte ich auch und hab daher den Server testweise mal ohne Router ans Netz gehaengt). Als Firewall benutze ich ein selbst geschriebenes Skript, das iptables mit entsprechenden Parametern aufruft. Als IDS kommt Snort zum Einsatz. pktstat zeigt an, dass selbst eine einzelne SSH-Verbindung 9-14% Netzwerklast verursacht, was mir doch sehr seltsam erscheint (sind ja nur max. 200-400 Byte pro Sekunde).
Dass das IDS dafuer verantworlich ist, glaube ich nicht, da es sonst wesentlich mehr Last auf dem Server verursachen wuerde.

 

[theton]

So, hab den jetzt mal ins Monitoring eingebunden. Und schon wirds noch absurder:

HTTP OK HTTP/1.1 200 OK - 223 bytes in 0.040 seconds
PING OK - Packet loss = 0%, RTA = 16.40 ms

Wie kann es sein, dass der Webserver so schnell antwortet, aber der Ping so lange braucht?

 

[damager]

9-14% für ssh ist schon sehr komisch!

hängt der server an irgendeinem switch? (wo beide 100 full duplex sind)
sicher das der treiber die karte als 100 / full duplex benutzt?
hast du fehler auf dem interface?

poste doch mal die ausgabe von dmesg | grep -i eth0.
sollte, je nach interface, sowas wie:
e1000: eth0: e1000_watchdog: NIC Link is Up 1000 Mbps Full Duplex
rauskommen.

 

[theton]

Hier der Output der Kernel-Buffer-Rings:

e100: eth0: e100_probe: addr 0xf9801000, irq 20, MAC addr 00:0F:EA:B3:9A:9F
e100: eth0: e100_watchdog: link up, 100Mbps, full-duplex
device eth0 entered promiscuous mode

Die restlichen Meldungen betreffen nur verworfene Pakete der IPTables (also Firewall Reject-Meldungen).

 

[nikster77]

Hi.
evtl. ist der udp Traffic auf dem Switch abgedreht? oder auf ner firewall dazwischen?

 

[theton]

Der Server haengt nicht an einem Switch, sondern ist im Rechenzentrum direkt angebunden. UDP wird natuerlich auf allen Ports unterbunden. Pings sind aber garantiert erlaubt. Dafuer sorgt die folgende Zeile in meinem Firewall-Skript:

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

 

[damager]

warum ist das interface im promiscuous mode? sniffer?
versuch doch mal mit:
ifconfig eth0 -promisc
diesen abzustellen. evtl. geht der ping dann schneller ...

 

[theton]

Weil ein IDS (Snort) dieses Interface ueberwacht. Das ist auf allen unseren Servern so und macht dort keinerlei Probleme.

 

[nikster77]

kann es sein das du viele syns auf der maschine reinbekommst?

 

[theton]

Nein, ich hab hier nichtmal einen einzigen Windoof-Rechner zur Verfuegung. Ich brauche zum Arbeiten nen Betriebssystem und kein Spielzeug.

 

[damager]

komisch....

schon mal mit etherreal (oder tcpdump) mal getracet was beim pingen noch so passiert?

 

[theton]

Ja, mit tcpdump hab ich schon geschaut (etherreal geht nicht, da keine GUI vorhanden ist) und nichts ungewoehnliches gefunden. Hab den Output mit anderen Servern verglichen und er war bis auf die ACK- und Win-Nummern identisch. Langsam glaube ich ja fast, dass es ein Problem mit der Netzwerkkarte ist. Werd jetzt einfach mal vom Praktikanten ne neue einbauen lassen.

 

[damager]

Langsam glaube ich ja fast, dass es ein Problem mit der Netzwerkkarte ist. Werd jetzt einfach mal vom Praktikanten ne neue einbauen lassen.

das kann natürlich sein!
errors gabs ja keine auf dem interface die man mit ifconfig sehen könnte?

kabel auch schon getauscht?

offtopic:
will auch nen praktikanten oder besser praktikantin haben für sowas

 

[theton]

So, Problem ist geloest. Andere Netzwerkkarte rein und die Ping-Zeiten sind wieder ok. Komischerweise laeuft dieselbe Karte jetzt in nem anderen Rechner (mal testweise reingesetzt) voellig problemlos. Das wird wohl wieder eines jener Raetsel bleiben, das mein Leben lang ungeloest bleiben wird.
Vielen Dank fuer die Hilfestellungen.