podivne packety
Dan Lukes
dan at obluda.cz
Fri Dec 2 12:41:28 CET 2005
Zbyněk Burget napsal/wrote, On 12/02/05 11:58:
> V posledni dobe se mi po siti zacinaji pohybovat takoveto packety (vytah
> z tcpdumpu):
>
> 11:27:48.796352 00:11:95:28:f8:a8 > ff:ff:ff:ff:ff:ff, ethertype Unknown
> (0xaaaa), length 60:
> 0x0000: f000 023e 6222 4000 8006 c620 ac10 0401 ...>b"@.........
> 0x0010: d450 4c15 0c43 0050 89df c224 4704 3f2f .PL..C.P...$G.?/
> 0x0020: 5018 ffff a6af 0000 4745 5420 2f72 P.......GET./r
>
> chodi z ruznych stroju, z ruznych vetvi site, vsechny maji spolecne
> "ethertype Unknown (0xaaaa), length 60"
Ja bych se myslenky, ze jde o poskozeny paket, uplne nevzdaval. Pricemz
"poskozeny" muze byt i tim, ze jde o pakt "posunuty" (pred jeho zacatek
jsou pripojena data nebo naopak kus chybi) pripadne je castecne prepsany
(zde by GET mohlo naznacovat, ze jde o poskozeny datovy paket HTTP
spojeni - dokonce i port 80 se v paketu da dohledat, neznam ale mistni
adresni plan, abych mohl posoudit, jestli tam jsou i rozumne IP adresy).
Lepsi by, mimochodem, byl vypis '-e'
> Setkal se s timhle uz nekdy nekdo? Nevite, co by to mohlo znamenat?
Pachatelem nemusi byt switch. V nasi siti posilaji 'vadne pakety'
nejruznejsi sitove karty co chvili. Obzvlaste on-board karty s chipsetem
NVidia jsou tim primo proslule, nicmene, cas od casu to vidam na
prakticky kazde karte, vcetne Intelek.
Horsi to bude s dohledavanim zdroje - my to mame jednoduchy - sit je
"dratova" a kazdy switch posila informaci o kazde MAC, ktera se na
tom-kterem portu objevi a na portu byva jen jedina sitova karta - takze
kdyz k MAC v poskozenem paketu najdu port, mam take kartu, ktera ho
vyslala, bez ohledu na to, ze ta MAC neni jeji.
Nemam ale predstavu o topologii a vybaveni tve site, takze nedokazu
navrhnout jak tam postupovat.
A to vsechno za predpokladu, ze jde skutecne o Cimrmanovy boty.
Jeste je take samozrejme mozne, ze nejde o poskozeny paket (z jednoho
exemplare tezko soudit) - v takovem pripade je ovsem potreba dohledat
zarizeni s prislusnou MAC a zjistit, co to provadi a proc. Znovu ale
plati uz drive vyslovene tvrzeni - neznaje vybaveni tve site, nevim jak
dohledat odkud prichazi paket s konkretni zdrojovou MAC.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list