Сеть и протоколы
 

Взял я сниффер, посмотреть, что же все-таки творится в сети. Немножко охренел.
например:

Timestamp:.......... 18:41:21:835
MAC source address:. 00:80:48:1F:21:7E
MAC dest address:... 00:02:44:7F:E9:E5
Frame type:......... IP
Protocol:........... TCP-> HTTP (.A....)
Source IP address:.. 217.16.18.81
Dest IP address:.... 192.168.4.55
Source port:........ 80
Destination port:... 1225
SEQ:................ 2545467314
ACK:................ 213000682
Packet size:........ 60

Каким образом этот пакет вообще попал ко мне? Напоминаю, что мой адрес 4.78 и сеть у нас на свичах.
Или я где-то туплю?

Пацики если кто может то вкратце объясните шо ваще значют эти строчки!!!!! никогда о таком не слышал.

А причем здесь твой ip - ты же все пакеты ловишь что ходят...
Все помоему нормально - ничего необычного...

а при том... у нас помоему интелектуальные(как они называются) дешевые свичи стоят.. :) и они походу маршрутизируют пакеты от одного ай пи к другому, благодаря динамической таблице маршрутизации... поэтому естественно этот лог - это странная штука...

Я не знаю маленькой тонкости, просветите мну: если АйПи назначения на том же свиче, что и АйПи перехватичка, то, как мне кажется, свич входящий пакет пинает на фсе сваи порты... Или нет?

Вот насколько я знаю, свичи маршрутизируют по таблице МАК-адресов. И размеры таблиц этих измеряются тысячами адресов на порт. Вовсе даже не по Ай-Пи. В этом-то и весь пафос, что пакеты не бродкастовые ни по ай-пи ни по МАК. Но мне они попадают. Сильно смахивает на атаку ARP-poison. Но это скорее всего моя паранойя. ;)

2Rick Deckard - на свиче я должен видеть только мои пакеты и бродкастовые. Это меня и удивило. Иначе смысл этих свичей. Ты качаешь что-то с инета, а у меня в сетевуху этот трафик пролетает. Фигня.

Тем не менее из 900 пакетов в секунду 890 - это пакеты вайпресс чата. Выводы делайте сами ;)

Ну-ну
Смысл этого всего!? Я вот эту процедуру на второй день после подключения сделал, и как ты , тоже сильно офигел! Когда же заявил на форуме, что типа как-то все не так работает, как хотя бы по книге 20-ти летней давности, мне просто ответили: у нас самая лудшая организация сети какую юзают далеко за пределами области. Вот и все! А вот то что (если мне не изменяет память) при таком раскладе, по новым законам, есть строгое ай-яй-яй! Хотя я могу и ошибаться.
Про вайпрес вообще лудше молчать- это такая зараза что с ней даже никто не хочет бороться!
Так что живи и радуйся, и лудше не разбираться как оно все сдесь работает, а то чего доброго крыша поедет!

Организация сети и оборудование разные вещи. То что китайские свичи по 2 бакса за порт могут быть вполне быть попросту апгрейджеными хабами не должно в принципе никого удивлять. А вот организация - это да. Действительно хорошо сделано. Стоит просто сравнить с другими сетями херсона и сразу видно чья пиписка толще.

Нет не только твои а твоей подсети to твоя подсеть.X или from твоя подсеть.X
Ты так это и увидел - вообще я написал ничего странного - но то что так не должно было быть что инетовский адресс это да - я надеюсь тот пакет был единичным?

Ну а вчера допустим я тоже включил на пару сек сниффер ну и адрессок со второй подсети 192.168.40.5 ...

Смысл свичей - тебе написали - дешовые они - а чтоб всякие умники не задавали вопросы - им ответ а у нас свичи...

Подожди. Мухи - отдельно, котлеты - отдельно. Ругательное слово "подсеть", любимое всеми, возникает только на 3 уровне и выше. Когда в дело включается протокол IP. Свичи же работают на уровне 1 - на уровне езернет фреймов. И рулять они по МАК-адресам. Ни один из вышеприведенных адресов не является ни моим МАК-адресом, ни броадкастовым МАК-адресом. Вопрос - какого он попал ко мне?

В принципе такая ситуация возможна в одном случае - когда у свича нет адреса назначения в таблице "маршрутизации". Тогда он просто рассылает пришедший пакет на все порты. Но! поскольку это пакет из инета, то данный человек должен был хотя-бы запустить пресловутый инетаксесс, который периодически посылает информацию на роутер. То есть его адрес по любому должен быть в таблице.

Прошу админов прокомментировать ситуацию. Ответ "хер его знает" - не принимается как заведомо неверный.

вот кстати, ситуации не единичные. Если требуется больше информации - я ее соберу. Уточните какую.

Кстати, господа обитатели 4 подсети. Если есть желание помочь разобраться и не впадлу запустить одну программу - прошу отметится.
Эксперимент будет заключаться в запуске сниффера (предлагаю ирис) с указанными мной настройками в определенное время. Далее насниффленные пакеты передаются мне для анализа. Результаты сообщаются заинтересовнанным лицам.

Админам - в принципе, если будет доверие со стороны Нормы, я согласен поанализировать структуру хотя бы 4 подсети. Соответственно нужна будет инфа от вас. Возможно даже доступ к свичам - посниффлю прямо на месте ноутбуком. Все обсуждаемо.

Помоему сниффера перехватывают весь внутрисегментный траффик...

или у тебя теплится надежда что неперхватится плайн текст передаваемый всякими службами...

а Arpsniffers - ты забыл свичи тут не помогут тем более те что стоят

нужно шифрование трафика на уровне повыше использовать ssh ssl https и тд и тп
тем у кого пароноя icq+PGP pops+pgp ftps

2steel
а значит кто-то что делает ты это хочешь сказать ?

а еще не уверен что везде в сети стоят "умные' свичи

а управляемые свичи - ето не умные свичи - чето я не в курсе - ?
в них по идее пожно прописать невозможность смены маса CISCO Catalyst например - раскошелятся...

А админам по идее чтоб не было желания менять ip и маки надо просто жестко прописать привязку мака к айпи на серверах и запретить доступ к ресурсам при непопадании тогда смысл менняния пропадет - вообщем нужны дорогие харды и дорогие админы - и того и другого у нас нету в сети так что маемо те що маемо...

Такое впечатление что ты в одном письме сказал все умные слова которые знал ;)
А Карл Маркс и Фридрих Энгельс вовсе не муж и жена, а четыре совершенно разных человека.

Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?

А вот и нет
- а даже спорить с тобой небуду потому что iris примитивный сниффер и ты им хочешь что-то определить?

А зачем ты сниффишь?
Увидел что творится - вот вайпресс надо закрывать а другая проблемма arppoisoninga либо не решаема либо надо жестко прописыват myf управляемых программируеммых свичах ip+mac и в таблицах на сервере вот и вся проблема а в чем твоя проблема - что ты хочешь решить - какую задачу ставишь -
В начале поставь цель ! опиши ее -
затем будем сообща решать и не забудь на все нужны деньги...

А притом
- а причем здесь твой приведенный лог - тебе sharpshooter обьяснил?

Даже 5 разных людей карл его папа и кто там еще ...

Я понял почему ты так подумал - не совсем написал то что думал сейчас перечитал действительно бред - я многое опускал :) - вышло тупо...

Я сниффлю для того, чтобы посмотреть чем занята моя сетевая карта. И какого хрена на нее лезет стока мусора.
И разговор, прошу отметить, шел не про вайпресс. О нем - отдельно.

Вот моя проблема, если это не было понятно изначально - почему ко мне на интерфейс пришел пакет, который не бродкастовый ни по МАК-адресу ни по IP.
Вот моя цель - эти пакеты должны умирать на свиче. Я самолично проверял китайский сюреком по два бакса за порт - он прекрасно режет ненужные пакеты. Что я опять делаю неправильно?

Что я сделал неправильно, используя ирис? Чем мне поможет более продвинутый сниффер в решении указанной проблемы? Или так просто надо было ляпнуть?

Я такие же результаты получил используя ЛИНУКС и TCPDUMP. Эти умные слова сразили тебя наповал?

называйте вашу цену. И обязательно обоснуйте методами решения. Или опять пустой треп?

Мой лог иллюстрирует мою проблему. sharpshooter ничего не объяснил, кроме того что у него такая же ситуация. А вот твое перечисление умных слов показывает только то, что ты их где-то слышал.

Не хочу тебя больше обижать но все такие умники как ты которые научились пользоватся линуксовым софтом всегда переходят на личности ты уже третий такой - первый два оказались на деле пустышками а говорили еще более по умному и считают себя большими гуру...надеюсь ты не такой

Насчет вайпресса - да не туда зашел...

А дело то в свичах эт точно - причем от пакетов не броадкастовых они не спасают нужно как я писал жестко дырку программировать мак+ip другого решения нету

А и не писал что в сетевых технологиях разбираюсь хорошо тем более на практике я с сетевым хардом не работал - незнаю нюансов

предложи свое решение

И как ты думаешь почему это происходит?

я думаю что либо сбойный свич либо кто из линуксовых скрипт кидиесов что-то чудит...
или потеоризируй насчет коммутации пакетов - может ты больше книжек читал - я то вообще не читал - разьясни неуку
- обьясни мне про слои
2 и 3, 4 слой (в твоей терминологии уровни)
Ты пишешь что свичи работают на 1 уровне а по моему на втором
кадры - у тебя это фреймы?
2 слой передача кадров между сетевыми элементами как то свичи или рабочии станции сервера да?
3 слой IP
4 слой Tcp Udp - я не прав -?

Разговор очень уж неконкретный был... Все, исправляюсь ;)

несогласен. Как я уже и говорил, самолично проверял работу дешевых китайских свичей. Отрабатывают четко. Поэтому сказать что они все пропускают - было бы явной ложью.

ты прав, на втором. Может я их с нуля считал? Не зна. Вобщем как-то сместился ;)

Мало информации. В виду того, что админы положили болт на это, то остается только теоритизировать. Я даже не знаю, сколько свичей от меня до нормы и как далеко находится этот 4.55.

соответственно варианты:
1. перезагрузка свича. Явная (сбой по питанию) или какая-нить программная. Типа таймера, что-ли.
2. Эти пакеты пришли с такой задержкой, что из таблицы свича адрес уже ушел.
3. не исключен арп-пойзон. Особенно глядя на то, как норма сканирует сеть в поисках неучтенных мак-адресов. Вполне можно создать перегрузку какого-нить корневого свича. И тут-то вайпресс наверняка играет не последнюю роль. опять же - сложно сказать.
4. Сканеры сети. Особо отличившихся я уже баню ручками.
5. Возможно была подмена мак адресов. Но блин не столько же ситуаций.

Интересно поанализировать, но норма шевелиться не будет. Обидно. Бля, чтобы я еще что-нить для сети сделал задарма. Фпесду.

2 steel
Ну да без админов только в теории

Что мне сказал игровой на эту тему - вначале долго молчал
потом сказал что steel - поднял панику на ровном месте

я долго пытал почему место ровное - ну вообщем он уже дома...

P.S. - на добыло с утра начать ((( может быть допытался бы

я еще подумаю над твоими вариантами - кстати инетовские пакеты и ко мне приходят только очень очень редко

Интересно если ты вообще не читал книжек откуда знаешь слова, которые употр****ешь? Да и вообще элементы построения сетей. Мож ты телепат?:)