podivne packety

Dan Lukes dan at obluda.cz
Fri Dec 2 12:41:28 CET 2005

Previous message: podivne packety
Next message: Re: named: error sending response: not enough free resources (VYRESENO)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zbyněk Burget napsal/wrote, On 12/02/05 11:58:
> V posledni dobe se mi po siti zacinaji pohybovat takoveto packety (vytah 
> z tcpdumpu):
> 
> 11:27:48.796352 00:11:95:28:f8:a8 > ff:ff:ff:ff:ff:ff, ethertype Unknown 
> (0xaaaa), length 60:
>        0x0000:  f000 023e 6222 4000 8006 c620 ac10 0401  ...>b"@.........
>        0x0010:  d450 4c15 0c43 0050 89df c224 4704 3f2f  .PL..C.P...$G.?/
>        0x0020:  5018 ffff a6af 0000 4745 5420 2f72       P.......GET./r
> 
> chodi z ruznych stroju, z ruznych vetvi site, vsechny maji spolecne 
> "ethertype Unknown (0xaaaa), length 60"

	Ja bych se myslenky, ze jde o poskozeny paket, uplne nevzdaval. Pricemz 
"poskozeny" muze byt i tim, ze jde o pakt "posunuty" (pred jeho zacatek 
jsou pripojena data nebo naopak kus chybi) pripadne je castecne prepsany 
(zde by GET mohlo naznacovat, ze jde o poskozeny datovy paket HTTP 
spojeni - dokonce i port 80 se v paketu da dohledat, neznam ale mistni 
adresni plan, abych mohl posoudit, jestli tam jsou i rozumne IP adresy).

	Lepsi by, mimochodem, byl vypis '-e'

> Setkal se s timhle uz nekdy nekdo? Nevite, co by to mohlo znamenat?

	Pachatelem nemusi byt switch. V nasi siti posilaji 'vadne pakety' 
nejruznejsi sitove karty co chvili. Obzvlaste on-board karty s chipsetem 
NVidia jsou tim primo proslule, nicmene, cas od casu to vidam na 
prakticky kazde karte, vcetne Intelek.

	Horsi to bude s dohledavanim zdroje - my to mame jednoduchy - sit je 
"dratova" a kazdy switch posila informaci o kazde MAC, ktera se na 
tom-kterem portu objevi a na portu byva jen jedina sitova karta - takze 
kdyz k MAC v poskozenem paketu najdu port, mam take kartu, ktera ho 
vyslala, bez ohledu na to, ze ta MAC neni jeji.

	Nemam ale predstavu o topologii a vybaveni tve site, takze nedokazu 
navrhnout jak tam postupovat.

	A to vsechno za predpokladu, ze jde skutecne o Cimrmanovy boty.

	Jeste je take samozrejme mozne, ze nejde o poskozeny paket (z jednoho 
exemplare tezko soudit) - v takovem pripade je ovsem potreba dohledat 
zarizeni s prislusnou MAC a zjistit, co to provadi a proc. Znovu ale 
plati uz drive vyslovene tvrzeni - neznaje vybaveni tve site, nevim jak 
dohledat odkud prichazi paket s konkretni zdrojovou MAC.

						Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz

Previous message: podivne packety
Next message: Re: named: error sending response: not enough free resources (VYRESENO)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list