Вопросы по сети Все темы связанные так или иначе с работой сети |
|
Сеть и протоколы -
27.01.2005, 19:09
Взял я сниффер, посмотреть, что же все-таки творится в сети. Немножко охренел.
например:
Timestamp:.......... 18:41:21:835
MAC source address:. 00:80:48:1F:21:7E
MAC dest address:... 00:02:44:7F:E9:E5
Frame type:......... IP
Protocol:........... TCP-> HTTP (.A....)
Source IP address:.. 217.16.18.81
Dest IP address:.... 192.168.4.55
Source port:........ 80
Destination port:... 1225
SEQ:................ 2545467314
ACK:................ 213000682
Packet size:........ 60
Каким образом этот пакет вообще попал ко мне? Напоминаю, что мой адрес 4.78 и сеть у нас на свичах.
Или я где-то туплю?
|
|
27.01.2005, 19:38
Пацики если кто может то вкратце объясните шо ваще значют эти строчки!!!!! никогда о таком не слышал.
|
|
27.01.2005, 19:48
Цитата:
Сообщение от steel
Взял я сниффер, посмотреть, что же все-таки творится в сети. Немножко охренел.
например:
Timestamp:.......... 18:41:21:835
MAC source address:. 00:80:48:1F:21:7E
MAC dest address:... 00:02:44:7F:E9:E5
Frame type:......... IP
Protocol:........... TCP-> HTTP (.A....)
Source IP address:.. 217.16.18.81
Dest IP address:.... 192.168.4.55
Source port:........ 80
Destination port:... 1225
SEQ:................ 2545467314
ACK:................ 213000682
Packet size:........ 60
Каким образом этот пакет вообще попал ко мне? Напоминаю, что мой адрес 4.78 и сеть у нас на свичах.
Или я где-то туплю?
|
А причем здесь твой ip - ты же все пакеты ловишь что ходят...
Все помоему нормально - ничего необычного...
|
|
27.01.2005, 19:54
а при том... у нас помоему интелектуальные(как они называются) дешевые свичи стоят.. и они походу маршрутизируют пакеты от одного ай пи к другому, благодаря динамической таблице маршрутизации... поэтому естественно этот лог - это странная штука...
|
|
Местный
Очки: 11,346, Уровень: 25 |
|
|
Сообщения: 1,788
Благодарил(а): 2
Поблагодарили 55 раз в 37 постах
Регистрация: 08.12.2004
|
|
27.01.2005, 20:10
Цитата:
Сообщение от zheka_13
а при том... у нас помоему интелектуальные(как они называются) дешевые свичи стоят.. и они походу маршрутизируют пакеты от одного ай пи к другому, благодаря динамической таблице маршрутизации... поэтому естественно этот лог - это странная штука...
|
Я не знаю маленькой тонкости, просветите мну: если АйПи назначения на том же свиче, что и АйПи перехватичка, то, как мне кажется, свич входящий пакет пинает на фсе сваи порты... Или нет?
|
|
28.01.2005, 00:05
Цитата:
Сообщение от Volodya
Я не знаю маленькой тонкости, просветите мну: если АйПи назначения на том же свиче, что и АйПи перехватичка, то, как мне кажется, свич входящий пакет пинает на фсе сваи порты... Или нет?
|
Вот насколько я знаю, свичи маршрутизируют по таблице МАК-адресов. И размеры таблиц этих измеряются тысячами адресов на порт. Вовсе даже не по Ай-Пи. В этом-то и весь пафос, что пакеты не бродкастовые ни по ай-пи ни по МАК. Но мне они попадают. Сильно смахивает на атаку ARP-poison. Но это скорее всего моя паранойя. ;)
2Rick Deckard - на свиче я должен видеть только мои пакеты и бродкастовые. Это меня и удивило. Иначе смысл этих свичей. Ты качаешь что-то с инета, а у меня в сетевуху этот трафик пролетает. Фигня.
Тем не менее из 900 пакетов в секунду 890 - это пакеты вайпресс чата. Выводы делайте сами ;)
|
|
28.01.2005, 00:52
Ну-ну
Смысл этого всего!? Я вот эту процедуру на второй день после подключения сделал, и как ты , тоже сильно офигел! Когда же заявил на форуме, что типа как-то все не так работает, как хотя бы по книге 20-ти летней давности, мне просто ответили: у нас самая лудшая организация сети какую юзают далеко за пределами области. Вот и все! А вот то что (если мне не изменяет память) при таком раскладе, по новым законам, есть строгое ай-яй-яй! Хотя я могу и ошибаться.
Про вайпрес вообще лудше молчать- это такая зараза что с ней даже никто не хочет бороться!
Так что живи и радуйся, и лудше не разбираться как оно все сдесь работает, а то чего доброго крыша поедет!
|
|
\$$$/ - 2 ^_^
Очки: 22,116, Уровень: 36 |
|
|
Сообщения: 5,479
Благодарил(а): 4
Поблагодарили 365 раз в 194 постах
Регистрация: 21.11.2004
Адрес: я? Дома живу.
|
|
28.01.2005, 01:40
Цитата:
Сообщение от SharpShooter
Ну-ну
Смысл этого всего!? Я вот эту процедуру на второй день после подключения сделал, и как ты , тоже сильно офигел! Когда же заявил на форуме, что типа как-то все не так работает, как хотя бы по книге 20-ти летней давности, мне просто ответили: у нас самая лудшая организация сети какую юзают далеко за пределами области. Вот и все! А вот то что (если мне не изменяет память) при таком раскладе, по новым законам, есть строгое ай-яй-яй! Хотя я могу и ошибаться.
Про вайпрес вообще лудше молчать- это такая зараза что с ней даже никто не хочет бороться!
Так что живи и радуйся, и лудше не разбираться как оно все сдесь работает, а то чего доброго крыша поедет!
|
Организация сети и оборудование разные вещи. То что китайские свичи по 2 бакса за порт могут быть вполне быть попросту апгрейджеными хабами не должно в принципе никого удивлять. А вот организация - это да. Действительно хорошо сделано. Стоит просто сравнить с другими сетями херсона и сразу видно чья пиписка толще.
|
|
28.01.2005, 08:21
Цитата:
Сообщение от steel
2Rick Deckard - на свиче я должен видеть только мои пакеты и бродкастовые. Это меня и удивило. Иначе смысл этих свичей. Ты качаешь что-то с инета, а у меня в сетевуху этот трафик пролетает. Фигня.
Тем не менее из 900 пакетов в секунду 890 - это пакеты вайпресс чата. Выводы делайте сами ;)
|
Нет не только твои а твоей подсети to твоя подсеть.X или from твоя подсеть.X
Ты так это и увидел - вообще я написал ничего странного - но то что так не должно было быть что инетовский адресс это да - я надеюсь тот пакет был единичным?
Ну а вчера допустим я тоже включил на пару сек сниффер ну и адрессок со второй подсети 192.168.40.5 ...
Смысл свичей - тебе написали - дешовые они - а чтоб всякие умники не задавали вопросы - им ответ а у нас свичи...
Последний раз редактировалось Rick Deckard, 28.01.2005 в 08:49.
|
|
28.01.2005, 08:55
Цитата:
Сообщение от Rick Deckard
Нет не только твои а твоей подсети to твоя подсеть.X или from твоя подсеть.X
|
Подожди. Мухи - отдельно, котлеты - отдельно. Ругательное слово "подсеть", любимое всеми, возникает только на 3 уровне и выше. Когда в дело включается протокол IP. Свичи же работают на уровне 1 - на уровне езернет фреймов. И рулять они по МАК-адресам. Ни один из вышеприведенных адресов не является ни моим МАК-адресом, ни броадкастовым МАК-адресом. Вопрос - какого он попал ко мне?
В принципе такая ситуация возможна в одном случае - когда у свича нет адреса назначения в таблице "маршрутизации". Тогда он просто рассылает пришедший пакет на все порты. Но! поскольку это пакет из инета, то данный человек должен был хотя-бы запустить пресловутый инетаксесс, который периодически посылает информацию на роутер. То есть его адрес по любому должен быть в таблице.
Прошу админов прокомментировать ситуацию. Ответ "хер его знает" - не принимается как заведомо неверный.
Цитата:
Сообщение от Rick Deckard
Ну а вчера допустим я тоже включил на пару сек сниффер ну и адрессок со второй подсети 192.168.40.5 ...
|
вот кстати, ситуации не единичные. Если требуется больше информации - я ее соберу. Уточните какую.
Кстати, господа обитатели 4 подсети. Если есть желание помочь разобраться и не впадлу запустить одну программу - прошу отметится.
Эксперимент будет заключаться в запуске сниффера (предлагаю ирис) с указанными мной настройками в определенное время. Далее насниффленные пакеты передаются мне для анализа. Результаты сообщаются заинтересовнанным лицам.
Админам - в принципе, если будет доверие со стороны Нормы, я согласен поанализировать структуру хотя бы 4 подсети. Соответственно нужна будет инфа от вас. Возможно даже доступ к свичам - посниффлю прямо на месте ноутбуком. Все обсуждаемо.
|
|
28.01.2005, 09:37
Помоему сниффера перехватывают весь внутрисегментный траффик...
или у тебя теплится надежда что неперхватится плайн текст передаваемый всякими службами...
а Arpsniffers - ты забыл свичи тут не помогут тем более те что стоят
нужно шифрование трафика на уровне повыше использовать ssh ssl https и тд и тп
тем у кого пароноя icq+PGP pops+pgp ftps
2steel
а значит кто-то что делает ты это хочешь сказать ?
а еще не уверен что везде в сети стоят "умные' свичи
а управляемые свичи - ето не умные свичи - чето я не в курсе - ?
в них по идее пожно прописать невозможность смены маса CISCO Catalyst например - раскошелятся...
А админам по идее чтоб не было желания менять ip и маки надо просто жестко прописать привязку мака к айпи на серверах и запретить доступ к ресурсам при непопадании тогда смысл менняния пропадет - вообщем нужны дорогие харды и дорогие админы - и того и другого у нас нету в сети так что маемо те що маемо...
Последний раз редактировалось Rick Deckard, 28.01.2005 в 09:46.
|
|
28.01.2005, 10:18
Цитата:
Сообщение от Rick Deckard
Помоему сниффера перехватывают весь внутрисегментный траффик...
или у тебя теплится надежда что неперхватится плайн текст передаваемый всякими службами...
а Arpsniffers - ты забыл свичи тут не помогут тем более те что стоят
нужно шифрование трафика на уровне повыше использовать ssh ssl https и тд и тп
тем у кого пароноя icq+PGP pops+pgp ftps
...
а управляемые свичи - ето не умные свичи - чето я не в курсе - ?
в них по идее пожно прописать невозможность смены маса CISCO Catalyst например - раскошелятся...
|
Такое впечатление что ты в одном письме сказал все умные слова которые знал ;)
А Карл Маркс и Фридрих Энгельс вовсе не муж и жена, а четыре совершенно разных человека.
Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?
|
|
28.01.2005, 10:27
Цитата:
Сообщение от steel
Такое впечатление что ты в одном письме сказал все умные слова которые знал ;)
А Карл Маркс и Фридрих Энгельс вовсе не муж и жена, а четыре совершенно разных человека.
Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?
|
А вот и нет
- а даже спорить с тобой небуду потому что iris примитивный сниффер и ты им хочешь что-то определить?
|
|
28.01.2005, 10:34
Цитата:
Сообщение от steel
Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?
|
А зачем ты сниффишь?
Увидел что творится - вот вайпресс надо закрывать а другая проблемма arppoisoninga либо не решаема либо надо жестко прописыват myf управляемых программируеммых свичах ip+mac и в таблицах на сервере вот и вся проблема а в чем твоя проблема - что ты хочешь решить - какую задачу ставишь -
В начале поставь цель ! опиши ее -
затем будем сообща решать и не забудь на все нужны деньги...
Цитата:
Сообщение от steel
Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?
|
А притом
- а причем здесь твой приведенный лог - тебе sharpshooter обьяснил?
Даже 5 разных людей карл его папа и кто там еще ...
|
|
28.01.2005, 15:17
Цитата:
Сообщение от steel
Такое впечатление что ты в одном письме сказал все умные слова которые знал ;)
А Карл Маркс и Фридрих Энгельс вовсе не муж и жена, а четыре совершенно разных человека.
Ну при чем здесь Arpsniffers, плайн текст, сегменты и шифрование трафика?
|
Я понял почему ты так подумал - не совсем написал то что думал сейчас перечитал действительно бред - я многое опускал - вышло тупо...
|
|
28.01.2005, 15:23
Цитата:
Сообщение от Rick Deckard
А зачем ты сниффишь?
Увидел что творится - вот вайпресс надо закрывать а другая проблемма arppoisoninga либо не решаема либо надо жестко прописыват myf управляемых программируеммых свичах ip+mac и в таблицах на сервере вот и вся проблема
|
Я сниффлю для того, чтобы посмотреть чем занята моя сетевая карта. И какого хрена на нее лезет стока мусора.
И разговор, прошу отметить, шел не про вайпресс. О нем - отдельно.
Цитата:
Сообщение от Rick Deckard
а в чем твоя проблема - что ты хочешь решить - какую задачу ставишь -
В начале поставь цель ! опиши ее -
|
Вот моя проблема, если это не было понятно изначально - почему ко мне на интерфейс пришел пакет, который не бродкастовый ни по МАК-адресу ни по IP.
Вот моя цель - эти пакеты должны умирать на свиче. Я самолично проверял китайский сюреком по два бакса за порт - он прекрасно режет ненужные пакеты. Что я опять делаю неправильно?
Что я сделал неправильно, используя ирис? Чем мне поможет более продвинутый сниффер в решении указанной проблемы? Или так просто надо было ляпнуть?
Я такие же результаты получил используя ЛИНУКС и TCPDUMP. Эти умные слова сразили тебя наповал?
Цитата:
Сообщение от Rick Deckard
затем будем сообща решать и не забудь на все нужны деньги...
|
называйте вашу цену. И обязательно обоснуйте методами решения. Или опять пустой треп?
Цитата:
Сообщение от Rick Deckard
А притом
- а причем здесь твой приведенный лог - тебе sharpshooter обьяснил?
|
Мой лог иллюстрирует мою проблему. sharpshooter ничего не объяснил, кроме того что у него такая же ситуация. А вот твое перечисление умных слов показывает только то, что ты их где-то слышал.
|
|
28.01.2005, 15:56
Цитата:
Сообщение от steel
Я сниффлю для того, чтобы посмотреть чем занята моя сетевая карта. И какого хрена на нее лезет стока мусора.
И разговор, прошу отметить, шел не про вайпресс. О нем - отдельно.
Я такие же результаты получил используя ЛИНУКС и TCPDUMP. Эти умные слова сразили тебя наповал?
|
Не хочу тебя больше обижать но все такие умники как ты которые научились пользоватся линуксовым софтом всегда переходят на личности ты уже третий такой - первый два оказались на деле пустышками а говорили еще более по умному и считают себя большими гуру...надеюсь ты не такой
Насчет вайпресса - да не туда зашел...
А дело то в свичах эт точно - причем от пакетов не броадкастовых они не спасают нужно как я писал жестко дырку программировать мак+ip другого решения нету
А и не писал что в сетевых технологиях разбираюсь хорошо тем более на практике я с сетевым хардом не работал - незнаю нюансов
предложи свое решение
И как ты думаешь почему это происходит?
я думаю что либо сбойный свич либо кто из линуксовых скрипт кидиесов что-то чудит...
или потеоризируй насчет коммутации пакетов - может ты больше книжек читал - я то вообще не читал - разьясни неуку
- обьясни мне про слои
2 и 3, 4 слой (в твоей терминологии уровни)
Ты пишешь что свичи работают на 1 уровне а по моему на втором
кадры - у тебя это фреймы?
2 слой передача кадров между сетевыми элементами как то свичи или рабочии станции сервера да?
3 слой IP
4 слой Tcp Udp - я не прав -?
|
|
28.01.2005, 17:58
Цитата:
Сообщение от Rick Deckard
Не хочу тебя больше обижать но все такие умники как ты которые научились пользоватся линуксовым софтом всегда переходят на личности ты уже третий такой - первый два оказались на деле пустышками а говорили еще более по умному и считают себя большими гуру...надеюсь ты не такой
|
Разговор очень уж неконкретный был... Все, исправляюсь ;)
Цитата:
Сообщение от Rick Deckard
А дело то в свичах эт точно - причем от пакетов не броадкастовых они не спасают нужно как я писал жестко дырку программировать мак+ip другого решения нету
|
несогласен. Как я уже и говорил, самолично проверял работу дешевых китайских свичей. Отрабатывают четко. Поэтому сказать что они все пропускают - было бы явной ложью.
Цитата:
Сообщение от Rick Deckard
- обьясни мне про слои
2 и 3, 4 слой (в твоей терминологии уровни)
Ты пишешь что свичи работают на 1 уровне а по моему на втором
кадры - у тебя это фреймы?
2 слой передача кадров между сетевыми элементами как то свичи или рабочии станции сервера да?
3 слой IP
4 слой Tcp Udp - я не прав -?
|
ты прав, на втором. Может я их с нуля считал? Не зна. Вобщем как-то сместился ;)
Цитата:
Сообщение от Rick Deckard
предложи свое решение
И как ты думаешь почему это происходит?
я думаю что либо сбойный свич либо кто из линуксовых скрипт кидиесов что-то чудит...
|
Мало информации. В виду того, что админы положили болт на это, то остается только теоритизировать. Я даже не знаю, сколько свичей от меня до нормы и как далеко находится этот 4.55.
соответственно варианты:
1. перезагрузка свича. Явная (сбой по питанию) или какая-нить программная. Типа таймера, что-ли.
2. Эти пакеты пришли с такой задержкой, что из таблицы свича адрес уже ушел.
3. не исключен арп-пойзон. Особенно глядя на то, как норма сканирует сеть в поисках неучтенных мак-адресов. Вполне можно создать перегрузку какого-нить корневого свича. И тут-то вайпресс наверняка играет не последнюю роль. опять же - сложно сказать.
4. Сканеры сети. Особо отличившихся я уже баню ручками.
5. Возможно была подмена мак адресов. Но блин не столько же ситуаций.
Интересно поанализировать, но норма шевелиться не будет. Обидно. Бля, чтобы я еще что-нить для сети сделал задарма. Фпесду.
|
|
28.01.2005, 18:11
2 steel
Ну да без админов только в теории
Что мне сказал игровой на эту тему - вначале долго молчал
потом сказал что steel - поднял панику на ровном месте
я долго пытал почему место ровное - ну вообщем он уже дома...
P.S. - на добыло с утра начать ((( может быть допытался бы
я еще подумаю над твоими вариантами - кстати инетовские пакеты и ко мне приходят только очень очень редко
|
|
Рулевой форума
Очки: 55,109, Уровень: 57 |
|
|
Сообщения: 10,732
Благодарил(а): 1,710
Поблагодарили 2,547 раз в 1,281 постах
Регистрация: 18.11.2004
Адрес: Ukraine, Kherson
Возраст: 50
|
|
28.01.2005, 21:36
Цитата:
Сообщение от Rick Deckard
может ты больше книжек читал - я то вообще не читал
|
Интересно если ты вообще не читал книжек откуда знаешь слова, которые употр****ешь? Да и вообще элементы построения сетей. Мож ты телепат?
Нужны особые способности, чтобы нравиться всем.
У меня их нет.
(с) Эрик Кантона
|
Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикряплять файлы
Вы не можете редактировать сови сообщения
HTML код Выкл.
|
|
|
|