[gelöst] cURL/wget/ping/... nimmt an Ausführzeit zu

[jonasl]

Hallo!

Ich arbeite derzeit mit einem Debian 11 Server. Aufgrund von mehreren Problemen mit cURL, wget, ... habe ich ein kleines Skript geschrieben, dass die Zeit für die Ausführung von "curl google.com" speichert. Habe es dann in crontab einfügt, welches mein Skript nun jede Minute ausführt. Skript:

Code: Alles auswählen

#!/bin/bash
C="$(date +"%T")"
T="$(date +%s)"
    
curl google.com
    
T="$(($(date +%s)-T))"
echo "TIME: ${C} || CURLTIME: ${T}s" >> /CRONMASTER/curltime.txt

Und folgendes ist dabei herausgekommen: (Kurz vor und nachdem es zu dem Fehler kommt)

Code: Alles auswählen

TIME: 14:25:01 || CURLTIME: 0s
TIME: 14:26:01 || CURLTIME: 0s
TIME: 14:27:01 || CURLTIME: 1s
TIME: 14:28:01 || CURLTIME: 0s
TIME: 14:29:01 || CURLTIME: 0s
TIME: 14:30:01 || CURLTIME: 0s
TIME: 14:31:01 || CURLTIME: 1s
TIME: 14:32:01 || CURLTIME: 0s
TIME: 14:33:01 || CURLTIME: 0s
TIME: 14:34:01 || CURLTIME: 1s
TIME: 14:35:01 || CURLTIME: 0s
TIME: 14:36:01 || CURLTIME: 5s
TIME: 14:37:01 || CURLTIME: 5s
TIME: 14:38:01 || CURLTIME: 5s
TIME: 14:39:01 || CURLTIME: 5s
TIME: 14:40:01 || CURLTIME: 5s

Nach einem Neustart war alles wieder in Ordnung und die Zeit lag wieder bei 0s / 1s. Ich versuche gerade herauszufinden, ob es zu einem bestimmten Zeitpunkt oder nach einer gewissen Zeit passiert.
Das Problem liegt nicht bei cURL, da es auch bei anderen Befehlen auftritt, z. B.:

Code: Alles auswählen

time curl google.com >> 5.179s
time wget google.com >> 10.136s
time ping -c 3 google.com >> 16.067s
time ping -c 3 172.217.16.206 >> 2.019s
time traceroute google.com >> 1m5.308s

Ich dachte an ein DNS Auflösungs Problem, da die Verwendung via IPv4 (meistens) gut funktioniert. Also habe ich meine Nameserver auf 1.1.1.1 und 8.8.8.8 geändert und IPv6 deaktiviert, aber das Problem scheint weiter zu bestehen. Hat jemand eine Idee, woran das liegen könnte?

Vielen Dank im Voraus!

[mat6937]

Aufgrund von mehreren Problemen mit cURL, wget, ...

... vor und nachdem es zu dem Fehler kommt...

Welche Probleme bzw. welchen Fehler meinst Du? kannst Du das etwas genauer beschreiben?

[jonasl]

Mit dem Fehler/Problem ist die Zeit gemeint welches cURL, ... zum Ausführen braucht. Ich meine 5+ Sekunden für ein einfaches cURL ist nicht normal

[mat6937]

Ich meine 5+ Sekunden für ein einfaches cURL ist nicht normal

Ich stimme dir zu, wenn es um _ein_ einziges curl geht. Wenn man curl _minütlich_ macht, ist es m. E., nach einer gewissen zeit normal.
Welche Daten/Pakete werden bei deinem einfachen curl, ausgetauscht? Was ist der Anlass, Sinn und Zweck dieses curls?

[jonasl]

Der minütliche cURL ist nur da, um zu überprüfen, wann dieses Problem auftritt. Wenn dieses Script nicht laufen würde, würde dieses Problem trotzdem auftreten.
Es geht mir nur darum zu wissen, wann und ob es zu einem bestimmten Zeitpunkt / nach einer bestimmten Zeit nach dem Neustart auftaucht.

Normalerweise wird cURL benutzt, damit Anwendungen auf meinem Server miteinander kommunizieren. Diese lösen jedoch nach fünf Sekunden ohne Antwort auf ein cURL einen Timeout aus.
Und da in meinem Fall der cURL länger als fünf Sekunden am Werkeln ist, was nie sein sollte, auch wenn ich jede Sekunde es laufen lasse, hört meine Anwendung auf ihre Funktion zu erfüllen.

[mat6937]

Normalerweise wird cURL benutzt, damit Anwendungen auf meinem Server miteinander kommunizieren.

Das verstehe ich jetzt nicht. Was hat die (interne) Kommunikation von Anwendungen auf deinem Server, mit einem "curl google.com" zu tun?

[jonasl]

Die interne Kommunikation wird nicht mit der lokalen IP-Adresse abgewickelt, sondern aufgrund von SSL Verschlüsselungen mit der Domain. Das heißt, es verlässt einmal den Server, geht quer durchs Internet und kommt wieder zurück.
Google habe ich nur als Beispiel genommen, da es bei dieser Adresse klar ist das, die i. d. R. schnell antwortet.

[mat6937]

Google habe ich nur als Beispiel genommen, da es bei dieser Adresse klar ist das, die i. d. R. schnell antwortet.

Teste mal mit dem Port 443:

Code: Alles auswählen

time curl --insecure -sD - https://google.com | grep -i date

[mat6937]

Das Problem liegt nicht bei cURL, da es auch bei anderen Befehlen auftritt, ...

Teste mal auch mit einem tcp-Ping (nping) und mit der query time (dns via tcp mit dig):

Code: Alles auswählen

nping -q -c 1 --tcp --flags syn,ecn,cwr -g 12345 -p 53 1.1.1.1

Code: Alles auswählen

dig a -4 +tcp @1.1.1.1 paris.fr | grep msec -A1

[jonasl]

So, also ich bin gerade wieder an den Server gegangen und mein "Log" zeigt wieder auf, dass das Problem seit heute 07:50 Uhr wieder aktiv ist.
Also seit 07:50 Uhr sind alle cURL, wget, ... Anfragen extrem langsam.

Ich bin mir nicht sicher, ob das in irgendeiner Rolle etwas mitspielt, aber falls ein einfacher Speedtest uns auf die richtige Spur bringt:

Code: Alles auswählen

Server: myLoc managed IT AG - Dusseldorf (id = 17392)
ISP: Ociris GmbH
Latency:     1.50 ms   (2.01 ms jitter)
Download:   558.70 Mbps (data used: 261.2 MB )
Upload:   592.13 Mbps (data used: 739.4 MB )
Packet Loss:     0.0%
Result URL: https://www.speedtest.net/result/c/479f12ef-1f37-477d-a5fc-4747b63aca7a

Das kam bei deinen vorgeschlagenen Befehlen heraus, bei dem letzten hab ich time mal davor geschrieben da sonst kein Output kam.

Code: Alles auswählen

time curl --insecure -sD - https://google.com | grep -i date
date: Thu, 04 Aug 2022 14:14:31 GMT

real    0m5.132s
user    0m0.026s
sys     0m0.020s

Code: Alles auswählen

nping -q -c 1 --tcp --flags syn,ecn,cwr -g 12345 -p 53 1.1.1.1

Starting Nping 0.7.80 ( https://nmap.org/nping ) at 2022-08-04 16:16 CEST
Max rtt: 5.195ms | Min rtt: 5.195ms | Avg rtt: 5.195ms
Raw packets sent: 1 (40B) | Rcvd: 1 (46B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.08 seconds

Code: Alles auswählen

time dig a -4 +tcp @1.1.1.1 paris.fr | grep msec -A1

real    0m30.041s
user    0m0.005s
sys     0m0.043s

[DeletedUserReAsG]

Ich würde auch mal ein anderes Ziel als die Datenkrake wählen. Pingen lassen sie sich ja noch gefallen, aber gegen automatisierte Abfragen haben sie was, solange man nicht dafür bezahlt. Würde mich nicht wundern, wenn die Verzögerung von deren Seite käme.

[jonasl]

Ich kann auch gerne etwas anderes, z. B. meine eigene Domain wählen. Aber wenn ich jetzt (während das Problem auftritt) mit cURL an eine andere Seite gehe, tritt die Verzögerung auch auf. z. B.:

Code: Alles auswählen

time curl debianforum.de

real    0m5.049s
user    0m0.009s
sys     0m0.009s

Code: Alles auswählen

time curl cloudflare.com

real    0m5.076s
user    0m0.004s
sys     0m0.012s

Code: Alles auswählen

time curl vsenet.de

real    0m5.083s
user    0m0.010s
sys     0m0.005s

(Den Output habe ich wegen der Übersicht mal weggelassen)

[jonasl]

Was mit gerade in der Übersicht so auffällt, es scheint so als würde er immer genau 5 Sekunden warten. 0.049s, 0.076s wären die normalen Zeiten, aber es sind immer genau 5 Sekunden die er wartet.

[DeletedUserReAsG]

Sieht nach ’nem Timeout irgendwo aus. Ich würde nun DNS ausschließen (oder bestätigen), und es mit einer IP anstelle des Namens probieren.

[jonasl]

Das sind die gleichen drei Anbieter, auch in der gleichen Reihenfolge, nur mit der IPv4:

Code: Alles auswählen

time curl 142.132.203.155

real    0m0.045s
user    0m0.014s
sys     0m0.005s

Code: Alles auswählen

time curl 104.16.133.229

error code: 1003
real    0m0.037s
user    0m0.007s
sys     0m0.008s

Code: Alles auswählen

time curl 87.237.125.185

real    0m0.033s
user    0m0.000s
sys     0m0.009s

Cloudflare lässt sich anscheinend per IP nicht "ancurlen"

[mat6937]

Code: Alles auswählen

time dig a -4 +tcp @1.1.1.1 paris.fr | grep msec -A1

real    0m30.041s
user    0m0.005s
sys     0m0.043s

Wie sind bei dir die Ausgaben von (ohne time):

Code: Alles auswählen

dig a -4 @1.1.1.1 loc.gov | grep msec -A1

Code: Alles auswählen

dig a -4 whitehouse.gov | grep msec -A1

? Es geht um die "Query time".

[jonasl]

Bei dem ersten Befehl erscheint keine und bei dem zweiten diese:

Code: Alles auswählen

dig a -4 whitehouse.gov | grep msec -A1
;; Query time: 15 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)

[DeletedUserReAsG]

Mag’s eine Art kruder DoS-Protection deines DNS-Providers sein? Du könntest zum Testen mal einen bekannt-guten DNS-Server in deine resolv.conf schreiben. Wenn dir Tracking egal ist, leistungstechnisch ist Googles 8.8.8.8 ziemlich okay, und lässt sich auch schnell tippen …

[mat6937]

Bei dem ersten Befehl erscheint keine ...

D. h. dein Server hat nur zu den in der /etc/resolv.conf eingetragenen DNS-Server, Zugang?
Was ist ausgehend, noch alles blockiert, auf deinem Server?

Wie ist die Ausgabe von:

Code: Alles auswählen

nc -zv -w 5 1.1.1.1 53

?

[jonasl]

Mag’s eine Art kruder DoS-Protection deines DNS-Providers sein? Du könntest zum Testen mal einen bekannt-guten DNS-Server in deine resolv.conf schreiben. Wenn dir Tracking egal ist, leistungstechnisch ist Googles 8.8.8.8 ziemlich okay, und lässt sich auch schnell tippen …

Hab ich bereits, kurzer Einblick in meine resolv.conf:

Code: Alles auswählen

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "resolvectl status" to see details about the actual nameservers.

nameserver 1.1.1.1
nameserver 8.8.8.8
nameserver 8.8.4.4
search invalid

[jonasl]

Bei dem ersten Befehl erscheint keine ...

D. h. dein Server hat nur zu den in der /etc/resolv.conf eingetragenen DNS-Server, Zugang?
Was ist ausgehend, noch alles blockiert, auf deinem Server?

Wie ist die Ausgabe von:

Code: Alles auswählen

nc -zv -w 5 1.1.1.1 53

?

Die Ausgabe davon ist:

Code: Alles auswählen

nc -zv -w 5 1.1.1.1 53
one.one.one.one [1.1.1.1] 53 (domain) : Connection timed out

[mat6937]

Die Ausgabe davon ist:

Code: Alles auswählen

nc -zv -w 5 1.1.1.1 53
one.one.one.one [1.1.1.1] 53 (domain) : Connection timed out

Wer hat das blocken konfiguriert?

[jonasl]

Mein Hoster wahrscheinlich eher weniger. Vermutlich sitzt der Fehler gerade 30 cm vorm Bildschirm, bewusst habe ich es nicht konfiguriert?
Eine Fehlkonfiguration meinerseits lässt sich nicht ausschließen... der Profi schlechthin bin ich ja nicht gerade - ich lerne ja noch, aka. Ausbildung

[mat6937]

Eine Fehlkonfiguration meinerseits lässt sich nicht ausschließen...

Wie ist die Ausgabe von:

Code: Alles auswählen

iptables -nvx -L

?

[jonasl]

Code: Alles auswählen

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       3      132 DROP       all  --  *      *       193.163.125.212      0.0.0.0/0
       6      251 DROP       all  --  *      *       162.142.125.139      0.0.0.0/0
      26     1152 DROP       all  --  *      *       183.136.225.9        0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.219.230      0.0.0.0/0
       0        0 DROP       all  --  *      *       185.220.205.106      0.0.0.0/0
       0        0 DROP       all  --  *      *       71.6.233.14          0.0.0.0/0
       1       40 DROP       all  --  *      *       192.241.236.206      0.0.0.0/0
       0        0 DROP       all  --  *      *       198.235.24.134       0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.207.31       0.0.0.0/0
       2      126 DROP       all  --  *      *       147.203.255.20       0.0.0.0/0
       1       40 DROP       all  --  *      *       193.118.53.138       0.0.0.0/0
       3      132 DROP       all  --  *      *       167.94.138.109       0.0.0.0/0
       2       88 DROP       all  --  *      *       45.61.188.191        0.0.0.0/0
       3      132 DROP       all  --  *      *       167.94.138.96        0.0.0.0/0
       5      220 DROP       all  --  *      *       66.240.205.34        0.0.0.0/0
      26     1288 DROP       all  --  *      *       154.89.5.92          0.0.0.0/0
      19      868 DROP       all  --  *      *       223.71.167.165       0.0.0.0/0
     108     4320 DROP       all  --  *      *       162.251.60.110       0.0.0.0/0
      11      440 DROP       all  --  *      *       45.227.253.99        0.0.0.0/0
       5      260 DROP       all  --  *      *       123.160.221.12       0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.222.21       0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.236.131      0.0.0.0/0
       1       40 DROP       all  --  *      *       192.241.207.249      0.0.0.0/0
       3      129 DROP       all  --  *      *       185.94.111.1         0.0.0.0/0
     105     4224 DROP       all  --  *      *       103.155.81.104       0.0.0.0/0
     212     8480 DROP       all  --  *      *       92.63.197.94         0.0.0.0/0
       0        0 DROP       all  --  *      *       193.163.125.227      0.0.0.0/0
     141     5640 DROP       all  --  *      *       91.240.118.69        0.0.0.0/0
       2       88 DROP       all  --  *      *       193.163.125.200      0.0.0.0/0
       0        0 DROP       all  --  *      *       64.62.197.69         0.0.0.0/0
       0        0 DROP       all  --  *      *       204.42.253.130       0.0.0.0/0
       2       94 DROP       all  --  *      *       94.102.61.29         0.0.0.0/0
       0        0 DROP       all  --  *      *       91.207.175.154       0.0.0.0/0
       0        0 DROP       all  --  *      *       167.94.146.77        0.0.0.0/0
       0        0 DROP       all  --  *      *       94.102.61.25         0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.213.114      0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.237.29       0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.213.25       0.0.0.0/0
       0        0 DROP       all  --  *      *       88.202.190.158       0.0.0.0/0
   11173  1267337 DROP       all  --  *      *       1.1.1.1              0.0.0.0/0
       0        0 DROP       all  --  *      *       185.149.40.210       0.0.0.0/0
       2       88 DROP       all  --  *      *       71.6.199.23          0.0.0.0/0
       0        0 DROP       all  --  *      *       51.255.109.173       0.0.0.0/0
      30     1200 DROP       all  --  *      *       89.248.165.204       0.0.0.0/0
       1       40 DROP       all  --  *      *       64.62.197.85         0.0.0.0/0
       0        0 DROP       all  --  *      *       184.105.139.67       0.0.0.0/0
       9      360 DROP       all  --  *      *       45.148.10.81         0.0.0.0/0
      10      400 DROP       all  --  *      *       91.210.107.80        0.0.0.0/0
       2       88 DROP       all  --  *      *       167.94.138.105       0.0.0.0/0
       1       40 DROP       all  --  *      *       185.180.143.94       0.0.0.0/0
       5      200 DROP       all  --  *      *       92.255.85.37         0.0.0.0/0
       2       88 DROP       all  --  *      *       167.248.133.143      0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.220.23       0.0.0.0/0
       0        0 DROP       all  --  *      *       184.105.247.250      0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.237.68       0.0.0.0/0
       0        0 DROP       all  --  *      *       163.123.143.19       0.0.0.0/0
       0        0 DROP       all  --  *      *       45.124.84.253        0.0.0.0/0
       0        0 DROP       all  --  *      *       198.235.24.29        0.0.0.0/0
       9      360 DROP       all  --  *      *       192.227.134.67       0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.204.132      0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.221.243      0.0.0.0/0
       0        0 DROP       all  --  *      *       38.132.109.112       0.0.0.0/0
       0        0 DROP       all  --  *      *       192.241.237.47       0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
 1396728 366307245 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 1396728 366307245 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
       0        0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0
  599813 169049301 ACCEPT     all  --  *      pterodactyl0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    3427   199893 DOCKER     all  --  *      pterodactyl0  0.0.0.0/0            0.0.0.0/0
  793488 197058051 ACCEPT     all  --  pterodactyl0 !pterodactyl0  0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     all  --  pterodactyl0 pterodactyl0  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain DOCKER (2 references)
    pkts      bytes target     prot opt in     out     source               destination
    3423   199748 ACCEPT     tcp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.2           tcp dpt:25565
       3      105 ACCEPT     udp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.2           udp dpt:25565
       0        0 ACCEPT     tcp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.2           tcp dpt:6703
       0        0 ACCEPT     udp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.2           udp dpt:6703
       0        0 ACCEPT     tcp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.3           tcp dpt:25570
       0        0 ACCEPT     udp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.3           udp dpt:25570
       0        0 ACCEPT     tcp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.4           tcp dpt:25520
       0        0 ACCEPT     udp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.4           udp dpt:25520
       1       40 ACCEPT     tcp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.4           tcp dpt:3685
       0        0 ACCEPT     udp  --  !pterodactyl0 pterodactyl0  0.0.0.0/0            172.18.0.4           udp dpt:3685

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
  793488 197058051 DOCKER-ISOLATION-STAGE-2  all  --  pterodactyl0 !pterodactyl0  0.0.0.0/0            0.0.0.0/0
 1396728 366307245 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
       0        0 DROP       all  --  *      pterodactyl0  0.0.0.0/0            0.0.0.0/0
  793488 197058051 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain DOCKER-USER (1 references)
    pkts      bytes target     prot opt in     out     source               destination
 1396728 366307245 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Die ganzen IP-Adressen, von welchen die Pakete gedroppt werden, werden (wahrscheinlich) durch fail2ban hinzugefügt.