форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Непонятный постоянный исходящий трафик"
Сообщение от Bopros on 27-Дек-03, 02:59  (MSK)
с недавнего времени на шлюзе на FreeBSD4.2 mrtg стал показывать на графиках непонятный постоянный исходящий трафик. Tcpdump отловил 22:16:28.972479 0:2:4b:8d:c6:90 > 1:80:c2:0:0:0 sap 42 ui/C >>> Unknown IPX Data: (43 bytes) [000] 00 00 00 00 00 80 00 00  02 4B 8D C6 82 00 00 00  ........ .K...... [010] 00 80 00 00 02 4B 8D C6  82 80 1D 00 00 14 00 02  .....K.. ........ [020] 00 0F 00 00 00 00 00 00  00 00 00                 ........ ... len=43 0000 0000 0080 0000 024b 8dc6 8200 0000 0080 0000 024b 8dc6 8280 1d00 0014 0002 000f 0000 0000 0000 0000 00 Такая вещь посылается каждые 2 сек. В ipfw можно ли поставить запрет на мак адрес??? Если да то плиз подскажите как, маны почитал чего то там не совсем понятно как.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Непонятный постоянный исходящий трафик"
Сообщение от Bopros on 27-Дек-03, 20:40  (MSK)
>с недавнего времени на шлюзе на FreeBSD4.2 mrtg стал показывать на графиках >непонятный постоянный исходящий трафик. Tcpdump отловил >22:16:28.972479 0:2:4b:8d:c6:90 > 1:80:c2:0:0:0 sap 42 ui/C >>>> Unknown IPX Data: (43 bytes) >[000] 00 00 00 00 00 80 00 00  02 4B >8D C6 82 00 00 00  ........ .K...... >[010] 00 80 00 00 02 4B 8D C6  82 80 >1D 00 00 14 00 02  .....K.. ........ >[020] 00 0F 00 00 00 00 00 00  00 00 >00           >      ........ ... > len=43 >    0000 0000 0080 0000 024b 8dc6 8200 0000 > >    0080 0000 024b 8dc6 8280 1d00 0014 0002 > >    000f 0000 0000 0000 0000 00 >Такая вещь посылается каждые 2 сек. В ipfw можно ли поставить запрет >на мак адрес??? Если да то плиз подскажите как, маны почитал >чего то там не совсем понятно как. хотя бы как по макам запретить пакеты?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Непонятный постоянный исходящий трафик"
	Сообщение от Константин on 28-Дек-03, 00:43  (MSK)
	>>22:16:28.972479 0:2:4b:8d:c6:90 > 1:80:c2:0:0:0 sap 42 ui/C >>>>> Unknown IPX Data: (43 bytes) >>[000] 00 00 00 00 00 80 00 00  02 4B >>8D C6 82 00 00 00  ........ .K...... >>[010] 00 80 00 00 02 4B 8D C6  82 80 >>1D 00 00 14 00 02  .....K.. ........ >>[020] 00 0F 00 00 00 00 00 00  00 00 >>00           >>      ........ ... >> len=43 >>    0000 0000 0080 0000 024b 8dc6 8200 0000 >> >>    0080 0000 024b 8dc6 8280 1d00 0014 0002 >> >>    000f 0000 0000 0000 0000 00 Это орет протокол SAP от Novell (скорее всего, у тебя во внутренней сети есть Новеловские сервисы, которые заявляют о своем наличии каждые 2 сек) >>Такая вещь посылается каждые 2 сек. В ipfw можно ли поставить запрет >>на мак адрес??? Если да то плиз подскажите как, маны почитал >>чего то там не совсем понятно как. Можно, только с помощью ipfw2, который работает на 2м уровне Кое-что придется подправить в make.conf, ядре и перекомпилить ядро (man ipfw, см. ipfw2, там же есть примеры, как зафильтровать MAC) НО: будьте внимательны, если Вы считаете трафик с помощью counts, трафик 2го уровня будет суммироваться с трафиком 3го уровня
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Непонятный постоянный исходящий трафик"
Сообщение от Михаил on 28-Дек-03, 10:31  (MSK)
>с недавнего времени на шлюзе на FreeBSD4.2 mrtg стал показывать на графиках >непонятный постоянный исходящий трафик. Tcpdump отловил >22:16:28.972479 0:2:4b:8d:c6:90 > 1:80:c2:0:0:0 sap 42 ui/C >>>> Unknown IPX Data: (43 bytes) >[000] 00 00 00 00 00 80 00 00  02 4B >8D C6 82 00 00 00  ........ .K...... >[010] 00 80 00 00 02 4B 8D C6  82 80 >1D 00 00 14 00 02  .....K.. ........ >[020] 00 0F 00 00 00 00 00 00  00 00 >00           >      ........ ... > len=43 >    0000 0000 0080 0000 024b 8dc6 8200 0000 > >    0080 0000 024b 8dc6 8280 1d00 0014 0002 > >    000f 0000 0000 0000 0000 00 >Такая вещь посылается каждые 2 сек. В ipfw можно ли поставить запрет >на мак адрес??? Если да то плиз подскажите как, маны почитал >чего то там не совсем понятно как. а что, такие пакеты тоже форвардятся??? проверь, если такие пакеты во входящем и исходящем трафике на всех интерфейсах
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Непонятный постоянный исходящий трафик"
	Сообщение от Bopros on 28-Дек-03, 12:04  (MSK)
	>>с недавнего времени на шлюзе на FreeBSD4.2 mrtg стал показывать на графиках >>непонятный постоянный исходящий трафик. Tcpdump отловил >>22:16:28.972479 0:2:4b:8d:c6:90 > 1:80:c2:0:0:0 sap 42 ui/C >>>>> Unknown IPX Data: (43 bytes) >>[000] 00 00 00 00 00 80 00 00  02 4B >>8D C6 82 00 00 00  ........ .K...... >>[010] 00 80 00 00 02 4B 8D C6  82 80 >>1D 00 00 14 00 02  .....K.. ........ >>[020] 00 0F 00 00 00 00 00 00  00 00 >>00           >>      ........ ... >> len=43 >>    0000 0000 0080 0000 024b 8dc6 8200 0000 >> >>    0080 0000 024b 8dc6 8280 1d00 0014 0002 >> >>    000f 0000 0000 0000 0000 00 >>Такая вещь посылается каждые 2 сек. В ipfw можно ли поставить запрет >>на мак адрес??? Если да то плиз подскажите как, маны почитал >>чего то там не совсем понятно как. > > >а что, такие пакеты тоже форвардятся??? >проверь, если такие пакеты во входящем и исходящем трафике на всех интерфейсах > так вот именно что такие пакеты только на внешнем ифейсе. Я вообще всех пользователей с инета вырубал, запускал на внешнем интерфейсе tcpdump и там были только вот эти пакеты. Т.е. трафик исхдящий идёт либо из-за них либо что то с snmp/mrtg случилось. И ещё: вот эти 2 mac адреса - это не mac адреса моих ифейсов. Или  на ipx протоколе другие мак адреса??? Файрволом нет возможности их запретить так как там ipfw1, а там ничего с mac связаного нет. Как можно бы их запретить чтобы проверить точно ли из-за них это случается??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Непонятный постоянный исходящий трафик"
	Сообщение от Михаил on 28-Дек-03, 14:35  (MSK)
	>так вот именно что такие пакеты только на внешнем ифейсе. Я вообще >всех пользователей с инета вырубал, запускал на внешнем интерфейсе tcpdump и >там были только вот эти пакеты. Т.е. трафик исхдящий идёт либо >из-за них либо что то с snmp/mrtg случилось. И ещё: вот >эти 2 mac адреса - это не mac адреса моих ифейсов. >Или  на ipx протоколе другие мак адреса??? Файрволом нет возможности >их запретить так как там ipfw1, а там ничего с mac >связаного нет. Как можно бы их запретить чтобы проверить точно ли >из-за них это случается?? MAC-адреса никак с протоколом не связаны и должны быть (но всегда это бывает в действительности) уникальны и неизменны для каждого сетевого адаптера. если такие пакеты появились, когда никаких изменений в системе не было, то я бы в первую очередь поменял сетевую карту... по возможности - на карту другой марки... а вообще надо вимательно посмотреть, не запущено ли каких-нибудь служб типа динамической маршрутизации, не-tcp/ip протоколов и т.п.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Непонятный постоянный исходящий трафик"
	Сообщение от Nightman on 29-Дек-03, 08:12  (MSK)
	Я думаю что все гораздо проще, кто то в LAN поставил на винде все протоколы включая IPX&SPX вот он и кричит. Выход: найти эту машину .. и дать владельцу по рукам.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Непонятный постоянный исходящий трафик"
	Сообщение от Михаил on 29-Дек-03, 08:35  (MSK)
	>Я думаю что все гораздо проще, кто то в LAN поставил на >винде все протоколы включая IPX&SPX вот он и кричит. Выход: найти >эту машину .. и дать владельцу по рукам. так автор говорит, что такие пакеты только исходящие и только на внешнем интерфейсе, причем тут LAN?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Непонятный постоянный исходящий трафик"
	Сообщение от Nightman on 29-Дек-03, 08:47  (MSK)
	>>Я думаю что все гораздо проще, кто то в LAN поставил на >>винде все протоколы включая IPX&SPX вот он и кричит. Выход: найти >>эту машину .. и дать владельцу по рукам. >так автор говорит, что такие пакеты только исходящие и только на внешнем >интерфейсе, причем тут LAN? Сорри за невнимательность. Тогда следует обратится к провайдеру и выяснить откуда берется паразитный трафик.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Непонятный постоянный исходящий трафик"
Сообщение от Cheeto_McMourrell on 01-Янв-04, 23:12  (MSK)
Да что вы волнуетесь? Расслабьтесь, не надо открывать новый сезон охоты на ведьм. Это служебный трафик, он не имеет никакого отношения ни к вам, ни к Novell, ни к IPX. У вас этот порт подключен к умному коммутатору. Это STP.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Непонятный постоянный исходящий трафик"
	Сообщение от Bopros on 03-Янв-04, 11:07  (MSK)
	>Да что вы волнуетесь? Расслабьтесь, не надо открывать новый сезон охоты на >ведьм. Это служебный трафик, он не имеет никакого отношения ни к >вам, ни к Novell, ни к IPX. У вас этот порт >подключен к умному коммутатору. Это STP. так а как не волноваться, непонятный трафик появляется а ты говоришь ... Так самое главное что теперь он пропал, не знаю радоваться или нет. Разобраться то не успел в чём была проблема
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.