Got ERROR packet: TFTP Aborted

Dan Lukes dan at obluda.cz
Fri Jun 10 10:40:47 CEST 2011

Previous message: Got ERROR packet: TFTP Aborted
Next message: Specialny BSD vyhladavac od Google konci.
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 06/10/11 06:51, Radek Krejča:
>> U chybove hlasky od tftpd nam tcpdump na portu NFS asi spis nic
>> zajimaveho nerekne.

> Zde je ukazka zachyceneho trafficu, zkratil jsem opakujici se sekvence.

Teda - kdyz uz, musi-li to byt v textove podobe, tak s -vv -s 1600

Obvykle je ale daleko lepsi podoba binarni, takze -s 1600 -w tcpdump.bin

> Ja tam nic zajimaveho nevidim

Popsana hlaska od TFTPd ale nevznikal nijak jinak, nez v souvislosti s 
TFTP ERROR paketem, takze opravdu nas zajima jen TFTP komunikace, ergo 
tohle:

> 06:34:12.566932 IP pc-50.ucebna.int.2070 > storage.ucebna.int.tftp:  24 RRQ "pxeboot" octet tsize 0
> 06:34:12.569461 IP storage.ucebna.int.28712 > pc-50.ucebna.int.2070: UDP, length 15
> 06:34:12.570091 IP pc-50.ucebna.int.2070 > storage.ucebna.int.28712: UDP, length 17
> 06:34:12.571025 IP pc-50.ucebna.int.2071 > storage.ucebna.int.tftp:  29 RRQ "pxeboot" octet blksize 1456
> 06:34:12.573443 IP storage.ucebna.int.45291 > pc-50.ucebna.int.2071: UDP, length 15
... (je toho jeste kousek vic, ale to uz nas nezajima)

Vidime, ze klient si o pxeboot rekne dvakrat. Z tebou zaznamenanych 
chybovych hlaseni vidime, ze hlasku vyvolal ten prvni z nich a jelikoz 
si stezuje server, paket pochazel od klienta. Takovy paket je tam jen jeden:

> 06:34:12.570091 IP pc-50.ucebna.int.2070 > storage.ucebna.int.28712: UDP, length 17

Do obsahu sice nevidime, ale vime, ze ty byl paket typu error a popis 
chyby poskytnuty klientem byl "TFTP aborted". Z toho, ze paket pred nim, 
ten od serveru, je podivne kratky se da odhadnout, ze to je OACK paket.

Takze klient si rekl o soubor, pouzil pri tom option tsize 0 a pote co 
dostal OACK prenos zrusil - nejspis mu slo jen o ty optiony. Nasledne si 
o soubor pozadal znovu, s optionem blksize 1456, ktery patrne 
vydedukoval z toho OACK, ktere dostal v "prvnim kole".

Ja na te komunikaci nic podivneho a podezreleho nevidim.

> bootovani po siti nepatri mezi veci, kterymi bych se nejak do hloubky zabyval

Ale pouzivas ho - takze drive nebo pozdeji to stejne budes muset do 
vetsich hloubek nastudovat, mas-li to byt schopen ucinne udrzovat.

A tohle ani nevyzadovalo nejakou komplexni znalost procesu bootovani - 
tady stacilo kouknout do zdrojaku a zjistit za jakych okolnosti presne 
se vypisuje ta hlaska a zbytek byl o znalosti TFTP protokolu.

Nejde ani tak o to, ze tahle konference nechce byt "helpdesk", jako spis 
o to, ze si obvykle nebudes moct dovolit pri reseni problemu cekat 
jestli se nekdo uraci problem, ktery se v tve siti objevi, zanalyzovat a 
neco rozumneho ti k nemu rict.

Dan

Previous message: Got ERROR packet: TFTP Aborted
Next message: Specialny BSD vyhladavac od Google konci.
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list