Hello all.<br><br>I&#39;m setting up Spread in a datacenter environment where I have multiple boxes, on multiple subnets, all needing to transmit to one machine (fdc2) for the purpose of collecting logs.<br><br>I recently recieved a ticket claiming that one of my log transmitting machines - the only active one - was performing a broadcast DDOS attack on its entire subnet. Upon further investigation, Spread was located as the culprit.
<br><br>Here is my spread configuration file for your reference.<br><br>Spread_Segment xx.yy.zz.255:4803<br>{<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; fdc2&nbsp;&nbsp;&nbsp; xx.yy.zz.108<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; fdc33&nbsp;&nbsp; xx.yy.zz.175<br>}<br>Spread_Segment aa.bb.cc.255:4803<br>{<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; fdc27&nbsp;&nbsp; aa.bb.cc.241<br>}<br><br>DebugFlags = { PRINT EXIT }<br>EventLogFile = /var/log/spread.log<br>#EventLogFile = /var/log/spread_%h.log<br>EventTimeStamp = &quot;[%a %d %b %Y %H:%M:%S]&quot;<br>DangerousMonitor = false
<br>#SocketPortReuse = AUTO<br>RuntimeDir = /var/run/spread<br>DaemonUser = spread<br>DaemonGroup = spread<br><br>fdc33 is sending the logs, and fdc2 is recieving the logs.<br><br>Here is the output of spmonitor:<br><br>Monitor&gt; Monitor: send status query
<br><br>============================<br>Status at fdc33 V 3.17. 4 (state 1, gstate 1) after 1016 seconds :<br>Membership&nbsp; :&nbsp; 2&nbsp; procs in 1 segments, leader is fdc2<br>rounds&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 2383&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tok_hurry :&nbsp;&nbsp;&nbsp; 1991&nbsp;&nbsp;&nbsp;&nbsp; memb change:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1
<br>sent pack:&nbsp;&nbsp;&nbsp; 6027&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; recv pack :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2&nbsp;&nbsp;&nbsp;&nbsp; retrans&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 5956<br>u retrans:&nbsp;&nbsp;&nbsp; 5956&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; s retrans :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp; b retrans&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>My_aru&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 6029&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Aru&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 6029&nbsp;&nbsp;&nbsp;&nbsp; Highest seq:&nbsp;&nbsp;&nbsp; 6029<br>Sessions :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Groups&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2&nbsp;&nbsp;&nbsp;&nbsp; Window&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 60
<br>Deliver M:&nbsp;&nbsp;&nbsp; 6025&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Deliver Pk:&nbsp;&nbsp;&nbsp; 6029&nbsp;&nbsp;&nbsp;&nbsp; Pers Window:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15<br>Delta Mes: -2969904&nbsp;&nbsp;&nbsp;&nbsp; Delta Pack:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp; Delta sec&nbsp; : -112811<br>==================================<br><br>Monitor&gt;<br>============================
<br>Status at fdc2 V 3.17. 4 (state 1, gstate 1) after 113837 seconds :<br>Membership&nbsp; :&nbsp; 2&nbsp; procs in 1 segments, leader is fdc2<br>rounds&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 2383&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tok_hurry : 2435800&nbsp;&nbsp;&nbsp;&nbsp; memb change:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 13<br>sent pack:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; recv pack : 5864749&nbsp;&nbsp;&nbsp;&nbsp; retrans&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 13
<br>u retrans:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 13&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; s retrans :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp; b retrans&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>My_aru&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 6029&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Aru&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp; 6029&nbsp;&nbsp;&nbsp;&nbsp; Highest seq:&nbsp;&nbsp;&nbsp; 6029<br>Sessions :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Groups&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2&nbsp;&nbsp;&nbsp;&nbsp; Window&nbsp;&nbsp;&nbsp;&nbsp; :&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 60<br>Deliver M: 2975929&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Deliver Pk: 3024892&nbsp;&nbsp;&nbsp;&nbsp; Pers Window:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15
<br>Delta Mes: 2969904&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Delta Pack:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp; Delta sec&nbsp; :&nbsp; 112821<br>==================================<br><br>When I run &#39;tcpdump -i eth0 -n src xx.yy.zz.175 or dst xx.yy.zz.175&#39; and run spflooder on fdc33, I get the following output on a machine within the 
xx.yy.zz subnet, which is not listed in the Spread configuration:<br><br>14:27:04.175277 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1112<br>14:27:04.175379 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1112
<br>14:27:04.175473 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1112<br>14:27:04.175574 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1112<br>14:27:04.175669 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803
: UDP, length 1112<br>14:27:04.175762 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1112<br>14:27:04.175857 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1112<br>14:27:04.175963 IP xx.yy.zz.175.32877
 &gt; xx.yy.zz.255.4803: UDP, length 1112<br>14:27:04.176149 IP xx.yy.zz.175.32877 &gt; xx.yy.zz.255.4803: UDP, length 1192<br><br>So, my question is this:<br><br>Why is Spread spamming the entire subnet?<br><br>Why doesn&#39;t it list &#39;b retrans&#39; as a number more than 0 in spmonitor? Why doesn&#39;t Spread notice that Multicast and Broadcast don&#39;t work, and fall back to Unicast on a per-session rather than (presumably) per-packet basis?
<br><br>Is there an option to change this behaviour?<br><br>Thanks,<br><br>Jan<br>