Сеть и протоколы
 

Взял я сниффер, посмотреть, что же все-таки творится в сети. Немножко охренел.
например:

Timestamp:.......... 18:41:21:835
MAC source address:. 00:80:48:1F:21:7E
MAC dest address:... 00:02:44:7F:E9:E5
Frame type:......... IP
Protocol:........... TCP-> HTTP (.A....)
Source IP address:.. 217.16.18.81
Dest IP address:.... 192.168.4.55
Source port:........ 80
Destination port:... 1225
SEQ:................ 2545467314
ACK:................ 213000682
Packet size:........ 60

Каким образом этот пакет вообще попал ко мне? Напоминаю, что мой адрес 4.78 и сеть у нас на свичах.
Или я где-то туплю?

Пацики если кто может то вкратце объясните шо ваще значют эти строчки!!!!! никогда о таком не слышал.

А причем здесь твой ip - ты же все пакеты ловишь что ходят...
Все помоему нормально - ничего необычного...

а при том... у нас помоему интелектуальные(как они называются) дешевые свичи стоят.. :) и они походу маршрутизируют пакеты от одного ай пи к другому, благодаря динамической таблице маршрутизации... поэтому естественно этот лог - это странная штука...

Я не знаю маленькой тонкости, просветите мну: если АйПи назначения на том же свиче, что и АйПи перехватичка, то, как мне кажется, свич входящий пакет пинает на фсе сваи порты... Или нет?

Вот насколько я знаю, свичи маршрутизируют по таблице МАК-адресов. И размеры таблиц этих измеряются тысячами адресов на порт. Вовсе даже не по Ай-Пи. В этом-то и весь пафос, что пакеты не бродкастовые ни по ай-пи ни по МАК. Но мне они попадают. Сильно смахивает на атаку ARP-poison. Но это скорее всего моя паранойя. ;)

2Rick Deckard - на свиче я должен видеть только мои пакеты и бродкастовые. Это меня и удивило. Иначе смысл этих свичей. Ты качаешь что-то с инета, а у меня в сетевуху этот трафик пролетает. Фигня.

Тем не менее из 900 пакетов в секунду 890 - это пакеты вайпресс чата. Выводы делайте сами ;)

Ну-ну
Смысл этого всего!? Я вот эту процедуру на второй день после подключения сделал, и как ты , тоже сильно офигел! Когда же заявил на форуме, что типа как-то все не так работает, как хотя бы по книге 20-ти летней давности, мне просто ответили: у нас самая лудшая организация сети какую юзают далеко за пределами области. Вот и все! А вот то что (если мне не изменяет память) при таком раскладе, по новым законам, есть строгое ай-яй-яй! Хотя я могу и ошибаться.
Про вайпрес вообще лудше молчать- это такая зараза что с ней даже никто не хочет бороться!
Так что живи и радуйся, и лудше не разбираться как оно все сдесь работает, а то чего доброго крыша поедет!

Организация сети и оборудование разные вещи. То что китайские свичи по 2 бакса за порт могут быть вполне быть попросту апгрейджеными хабами не должно в принципе никого удивлять. А вот организация - это да. Действительно хорошо сделано. Стоит просто сравнить с другими сетями херсона и сразу видно чья пиписка толще.

Нет не только твои а твоей подсети to твоя подсеть.X или from твоя подсеть.X
Ты так это и увидел - вообще я написал ничего странного - но то что так не должно было быть что инетовский адресс это да - я надеюсь тот пакет был единичным?

Ну а вчера допустим я тоже включил на пару сек сниффер ну и адрессок со второй подсети 192.168.40.5 ...

Смысл свичей - тебе написали - дешовые они - а чтоб всякие умники не задавали вопросы - им ответ а у нас свичи...

Подожди. Мухи - отдельно, котлеты - отдельно. Ругательное слово "подсеть", любимое всеми, возникает только на 3 уровне и выше. Когда в дело включается протокол IP. Свичи же работают на уровне 1 - на уровне езернет фреймов. И рулять они по МАК-адресам. Ни один из вышеприведенных адресов не является ни моим МАК-адресом, ни броадкастовым МАК-адресом. Вопрос - какого он попал ко мне?

В принципе такая ситуация возможна в одном случае - когда у свича нет адреса назначения в таблице "маршрутизации". Тогда он просто рассылает пришедший пакет на все порты. Но! поскольку это пакет из инета, то данный человек должен был хотя-бы запустить пресловутый инетаксесс, который периодически посылает информацию на роутер. То есть его адрес по любому должен быть в таблице.

Прошу админов прокомментировать ситуацию. Ответ "хер его знает" - не принимается как заведомо неверный.

вот кстати, ситуации не единичные. Если требуется больше информации - я ее соберу. Уточните какую.

Кстати, господа обитатели 4 подсети. Если есть желание помочь разобраться и не впадлу запустить одну программу - прошу отметится.
Эксперимент будет заключаться в запуске сниффера (предлагаю ирис) с указанными мной настройками в определенное время. Далее насниффленные пакеты передаются мне для анализа. Результаты сообщаются заинтересовнанным лицам.

Админам - в принципе, если будет доверие со стороны Нормы, я согласен поанализировать структуру хотя бы 4 подсети. Соответственно нужна будет инфа от вас. Возможно даже доступ к свичам - посниффлю прямо на месте ноутбуком. Все обсуждаемо.

Помоему сниффера перехватывают весь внутрисегментный траффик...

или у тебя теплится надежда что неперхватится плайн текст передаваемый всякими службами...

а Arpsniffers - ты забыл свичи тут не помогут тем более те что стоят

нужно шифрование трафика на уровне повыше использовать ssh ssl https и тд и тп
тем у кого пароноя icq+PGP pops+pgp ftps

2steel
а значит кто-то что делает ты это хочешь сказать ?

а еще не уверен что везде в сети стоят "умные' свичи

а управляемые свичи - ето не умные свичи - чето я не в курсе - ?
в них по идее пожно прописать невозможность смены маса CISCO Catalyst например - раскошелятся...

А админам по идее чтоб не было желания менять ip и маки надо просто жестко прописать привязку мака к айпи на серверах и запретить доступ к ресурсам при непопадании тогда смысл менняния пропадет - вообщем нужны дорогие харды и дорогие админы - и того и другого у нас нету в сети так что маемо те що маемо...

Такое впечатление что ты в одном письме сказал все умные слова которые знал ;)
А Карл Маркс и Фридрих Энгельс вовсе не муж и жена, а четыре совершенно разных человека.

Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?

А вот и нет
- а даже спорить с тобой небуду потому что iris примитивный сниффер и ты им хочешь что-то определить?

А зачем ты сниффишь?
Увидел что творится - вот вайпресс надо закрывать а другая проблемма arppoisoninga либо не решаема либо надо жестко прописыват myf управляемых программируеммых свичах ip+mac и в таблицах на сервере вот и вся проблема а в чем твоя проблема - что ты хочешь решить - какую задачу ставишь -
В начале поставь цель ! опиши ее -
затем будем сообща решать и не забудь на все нужны деньги...

А притом
- а причем здесь твой приведенный лог - тебе sharpshooter обьяснил?

Даже 5 разных людей карл его папа и кто там еще ...

Я понял почему ты так подумал - не совсем написал то что думал сейчас перечитал действительно бред - я многое опускал :) - вышло тупо...

Я сниффлю для того, чтобы посмотреть чем занята моя сетевая карта. И какого хрена на нее лезет стока мусора.
И разговор, прошу отметить, шел не про вайпресс. О нем - отдельно.

Вот моя проблема, если это не было понятно изначально - почему ко мне на интерфейс пришел пакет, который не бродкастовый ни по МАК-адресу ни по IP.
Вот моя цель - эти пакеты должны умирать на свиче. Я самолично проверял китайский сюреком по два бакса за порт - он прекрасно режет ненужные пакеты. Что я опять делаю неправильно?

Что я сделал неправильно, используя ирис? Чем мне поможет более продвинутый сниффер в решении указанной проблемы? Или так просто надо было ляпнуть?

Я такие же результаты получил используя ЛИНУКС и TCPDUMP. Эти умные слова сразили тебя наповал?

называйте вашу цену. И обязательно обоснуйте методами решения. Или опять пустой треп?

Мой лог иллюстрирует мою проблему. sharpshooter ничего не объяснил, кроме того что у него такая же ситуация. А вот твое перечисление умных слов показывает только то, что ты их где-то слышал.

Не хочу тебя больше обижать но все такие умники как ты которые научились пользоватся линуксовым софтом всегда переходят на личности ты уже третий такой - первый два оказались на деле пустышками а говорили еще более по умному и считают себя большими гуру...надеюсь ты не такой

Насчет вайпресса - да не туда зашел...

А дело то в свичах эт точно - причем от пакетов не броадкастовых они не спасают нужно как я писал жестко дырку программировать мак+ip другого решения нету

А и не писал что в сетевых технологиях разбираюсь хорошо тем более на практике я с сетевым хардом не работал - незнаю нюансов

предложи свое решение

И как ты думаешь почему это происходит?

я думаю что либо сбойный свич либо кто из линуксовых скрипт кидиесов что-то чудит...
или потеоризируй насчет коммутации пакетов - может ты больше книжек читал - я то вообще не читал - разьясни неуку
- обьясни мне про слои
2 и 3, 4 слой (в твоей терминологии уровни)
Ты пишешь что свичи работают на 1 уровне а по моему на втором
кадры - у тебя это фреймы?
2 слой передача кадров между сетевыми элементами как то свичи или рабочии станции сервера да?
3 слой IP
4 слой Tcp Udp - я не прав -?

Разговор очень уж неконкретный был... Все, исправляюсь ;)

несогласен. Как я уже и говорил, самолично проверял работу дешевых китайских свичей. Отрабатывают четко. Поэтому сказать что они все пропускают - было бы явной ложью.

ты прав, на втором. Может я их с нуля считал? Не зна. Вобщем как-то сместился ;)

Мало информации. В виду того, что админы положили болт на это, то остается только теоритизировать. Я даже не знаю, сколько свичей от меня до нормы и как далеко находится этот 4.55.

соответственно варианты:
1. перезагрузка свича. Явная (сбой по питанию) или какая-нить программная. Типа таймера, что-ли.
2. Эти пакеты пришли с такой задержкой, что из таблицы свича адрес уже ушел.
3. не исключен арп-пойзон. Особенно глядя на то, как норма сканирует сеть в поисках неучтенных мак-адресов. Вполне можно создать перегрузку какого-нить корневого свича. И тут-то вайпресс наверняка играет не последнюю роль. опять же - сложно сказать.
4. Сканеры сети. Особо отличившихся я уже баню ручками.
5. Возможно была подмена мак адресов. Но блин не столько же ситуаций.

Интересно поанализировать, но норма шевелиться не будет. Обидно. Бля, чтобы я еще что-нить для сети сделал задарма. Фпесду.

2 steel
Ну да без админов только в теории

Что мне сказал игровой на эту тему - вначале долго молчал
потом сказал что steel - поднял панику на ровном месте

я долго пытал почему место ровное - ну вообщем он уже дома...

P.S. - на добыло с утра начать ((( может быть допытался бы

я еще подумаю над твоими вариантами - кстати инетовские пакеты и ко мне приходят только очень очень редко

Интересно если ты вообще не читал книжек откуда знаешь слова, которые употр****ешь? Да и вообще элементы построения сетей. Мож ты телепат?:)

Ждем выступления админов. Желательно чтоб не матом:)

Работает - не лезь. Херово работает - но ведь работает. Вот как отвалицца, так сообщайте.

Умолкаю, дабы место осталось ровным.

Ну в принцепе последнее замечание steel-а верно, надо подождать.
Но тут вылазит следующая проблема: админам не за то деньги платят, что бы наши проблемы решать! Они решают проблемы сугубо общенормовские! За это их винить не стоит.
Но всеж если мы хотим сделать все более или менее нормально, над обсудить план, но так же прийдеться и на админов насесть, причем так что бы жить им было невозможно!
По поводу всякого рода лазанья по сети: я как одному знакомому админу сказал что к норме подключился, через три дня у меня на тачке посылка от него появилась! Так что решать вам.
А вот от меня до сервака 11 свичей, и походу какой-то периодически глючавит, особенно в период массового использования вайперса.

Стоп. Че-то я не вкуряю. Это что же начит, норма - это некий жутко проблемный ребенок за которым 18 нянек образно? КАК может существовать сеть без пользователей? Или админы не должны следить за работой своего ребенка? И какие это еще общенормовские проблемы, а?

Выходные - сеть упала !
Радостей скажу вам - мало !
И по теме и в тему.Выводы за не мной :)

Именно. Жутко проблемный ребенок. Практически каждые выходные все падает. Отсюда вывод - все не стоит и в будние дни, но там хоть успевают быстро перезагрузить вместо того чтобы разобраться. Я еще ни разу не видел, чтобы аптайм сервера ДС++ был больше недели ;)
Вот это и есть общенормовские проблемы, когда оно не работает и все.
Но все просто заметается под коврик. Дабы сор из избы на ровном месте не выносить. Пипл хавает и ладно.

Все та оно да то правильно все пишут и говорят кто умеет говорить и писать а не хавать только

есть одно
но

харды менять нужно
кабеля
сервера

считай сколько ето стоит - пиплу будет выхлднее не платить да и владельцем иметь "такую" сеть выходнее чем апгрейдить ее - а админы делают все или почти все что могут - остается только надеется что ето почти как раз и нужно доделать...

хм. Ну давай считать ;)
единственный хард который я вижу - это фтп на 2.250. Ну послужит он год. Ну стоит гривен 300-500. Скока это в месяц?
Еще конечно есть роутер с базой расчетов и почтовым сервером. Те же расценки. Ну удвоим на рейд. херня.
Менять сервера? С какого перепугу? Ящик под линуксом будет рулить все это, пока блок питания не рассыпется. ну 200 баксов на тот же год.
Кабеля менять? Какие именно? Те что по улице - они лет пять провисят даже не пикнув. В отдельных случаях больше. Те что внутри? Так их поменяют за счет юзеров.
Опять пустой треп. Ты хоть считал сеть такого масштаба?

300-500 гривен? Эт ты хлам какойто посчитал. Нормальный сервак нада баксов на 1500-2000 считать. И кстати 2.250 не тока фтп. Но и игровой и портал и этот форум. А 2.70? А еще 2.4? А нормовский основной? Рейд говоришь удвоим? Ну нормальный контролер рейловый 280-400 баксов. А сами винты? Чай не на 60 гиг винтиков на рейд ставят. Да и даже если на 5-й рейд умножь стоимость винта на 4.

200 баков - это опять бэушка какаято. Стоит ли ТАКОЕ на сервак ставить? Что это у тя за расчеты такие - наставить в качестве серваков барахла. И как они сеть из 800+ юзверей обслужат? 3 качают 4-й не лезь??
Как же все привыкли чужие деньги считать.

Хм. Интересно, а чем могут загрузить сервер 800 пользователей, если в него воткнут хвост 100 мегабит? Пробросить и отфильтровать 100 мегабит на пять-шесть сегментов? Для этого не нужен восьмипроцессорный ящик. Обсчитать несчастные единицы мегабит инетного трафика? Да даже если попакетно в базу SQL задвигать и то нагрузки никакой не будет.
Портал и форум? Извини, это потянет сраный пенек за две бутылки пива.
И скажи мне, сколько на норме серверов за 2000 баксов? Сколько стоит правильный сервер я и так знаю. Весь вопрос - нах он тут? 24/7/365? да тут дай бог чтобы все остальное глючило не чаще раза в день.
Такое впечатление что все чтобы картошку с дачи возить покупают не меньше мерса. Причем вусмерть навороченного.

восьмипроцовый ящик стоит на порядок больше того, что я указал. Это цена нормального однопроцового с большим по вместимости рейдом.
Портал и форум я просто так указал (кстати они вместе с игровым стоят - что игровой тоже на пенек постваить?)
Сиквел сервак не требует ресурсов? нуну.
Еще раз. Ты за бэушный хлам на серваках? я нет. Я даже на рабочие станции бэушки не покупаю - нахрен геморой на голову?

во-первых - бэу - это твое воображение подсказало. Не говорил я об этом. Я говорил о том, что в данном случае можно не использовать то, что считается серверным хай-эндом. И вполне потянут машины класса "рабочая станция". Не те нагрузки. Не те требования. Не то остальное оборудование, наконец.
Сиквел требует ресурсы? Естественно. Не спорю. При указанной нагрузке его потянет все, что способно включаться. Файерволл требует ресурсов? Бесспорно. Но для указанных объемов - это мизер. Так что не передергивай.
Пока что твое предложение поставить сервер за две штуки баксов - необосновано. Ракетами по уткам. Стопудово поадешь, но жрать там будет нечего.
Игровой сервер? Тут извини, я требований особо не знаю. Когда-то ставил баттлнет и выделенный сервер то ли на кваку, то ли на анреал под линукс, так там требования были - тот самый первый пенек с 64 памяти. Опять негде развернуться серверу за две штуки баксов.

А ты знаешь все улицы и все что там висит?

Список адрессов и марки кабелей в студию...

Кабеля оказывают ой какую роль на все это!

А те что проложены в домах подьездах - наотстойнейшие и надешовейшине кабеля а в некоторых местах они тянут их по 100-150 метров - когда на такую длину бех помех работать они просто не расчитанны

P/S - смотрите что творится у них та а вы про кабеля свитчи ;)

Вот какраз сейчас и стоит 2.250 на рабочей станции (такие машины есть у многих в сети а в харсоне у некоторых в раз 2-3 лучше дома!)!!!

- да допустим не нагружается - но можно нагрузить накидать сервисов и служб серверов и т.д. и т.п.

но почему так часто падает и виснет - может софт корявый или настроенно некоректно...хм

вот как раз хай енд и нужен или хотя бы хай енд позупрошлогодний...

вывод начсет б/у легко сделать исходя из предложенных тобой сумм или ты гдето видел новые машины за 500 гривен? да и даже за 200 баксов.
Первый пенек в качестве сервака? Ну не знаю... А на 4 игры сразу?
Кстати 2000 баксов эт не предложение, эт я просто написал насчет цен на сервера.
Лана думаю еам пора бесполезный спор прекратить. Мыне знаем бюджета что выделяет руководстыо Нормы (по моим данным не очень). глянул я на фотку от модера и совсем "радостно" стало. Интересно, где такой эксклюзив он пробил:)

М-да... Тоска...

Ниче доживем до выходных пивом ее разгонять будем=))

Кстати почемуто админы упорно не хотят с нами дискутировать на эту тему. Все посты вроде культурные уважительные были, без наездов. А ответов от наших админов нету. =((

А они ждут, когда культурные слова закончатся :) И патом, когда силы наши будут на исхоже а, культура подмочена (пивом) - вот тада они и паявятся, и справацируют нас и на нас же патом и наедут...

Злые ани...