форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"tcpdump странные пакеты на gif интерфейсе"	+/–
Сообщение от Gruber on 12-Янв-14, 15:53
Всем доброго дня. Ситуация такая: Настроен ethernet over IP через gif интерфейсы между двумя машинами FreeBSD. gifconfig_gif1="x.x.x.x y.y.y.y accept_rev_ethip_ver send_rev_ethip_ver up" Все работает более или менее прилично, но.. давно меня смущает такой вот вывод tcpdump на gif : #tcpdump -i gif1 tcpdump: WARNING: gif1: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on gif1, link-type NULL (BSD loopback), capture size 96 bytes 15:34:52.256055 IP15 truncated-ip - 47762 bytes missing! 8.0.69.0 > 0.48.97.49: ip-proto-202 15:34:52.256080 IP15 truncated-ip - 47750 bytes missing! 8.0.69.0 > 0.60.146.232: ip-proto-202 15:34:52.258054 IP15 truncated-ip - 47718 bytes missing! 8.0.69.0 > 0.92.100.228: ip-proto-202 15:34:52.265550 IP15 truncated-ip - 47762 bytes missing! 8.0.69.0 > 0.48.104.195: ip-proto-202 15:34:52.266549 IP15 truncated-ip - 47762 bytes missing! 8.0.69.0 > 0.48.104.194: ip-proto-202 15:34:52.268548 IP15 truncated-ip - 47762 bytes missing! 8.0.69.0 > 0.48.104.196: ip-proto-202 15:34:52.269549 IP15 truncated-ip - 47762 bytes missing! 8.0.69.0 > 0.48.104.197: ip-proto-202 Что такое  truncated-ip - это понятно. Но откуда эти пакеты непонятно! И еще по идее вот это "8.0.69.0 > 0.48.97.49:" похоже на IP  но какие-то странные они :( А про "ip-proto-202" -  вообще ничего не нагуглил толкового :( Подскажите пожалуйста кто сталкивался с таким? Хочется понять что сие значит, так как этого добра более чем достаточно сыпется! Заранее спасибо.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "tcpdump странные пакеты на gif интерфейсе"	+/–
Сообщение от parad (ok) on 12-Янв-14, 20:32
202 не существует( по крайней мере в стандартах не значится ). покажи целиком пакет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от anonymous (??) on 12-Янв-14, 21:01
	> 202 не существует( по крайней мере в стандартах не значится ). покажи > целиком пакет. Скорее всего это локальная freebsd'шная тема, поэтому в стандарте и нет. 202 номер протокола в документах IANA значится как unassigned. Стоит посмотреть исходники. 2TS: MTU уменьшать пробовали?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от Gruber on 12-Янв-14, 21:11
	Да, я тож нигде не нашел 202, странно... Собственно в /etc/protocols во FreeBSD тоже его нету, думаю если бы это была локальная тема, то туда бы его вписали. Да с MTU игрались по всякому с обоих концов туннеля, это ничего не дало особенно. Немного удивляет размер turncated-ip - 47744 bytes. Вот еще кусок дампа: 21:01:26.842841 IP15 truncated-ip - 47762 bytes missing! (tos 0xe1,ECT(1), ttl 13, id 13415, offset 312, flags [none], proto unknown (202), length 47824, options (EOL), bad cksum 9b80 (->50c6)!)     8.0.69.0 > 0.48.71.45: ip-proto-202 21:01:26.842856 IP15 truncated-ip - 47710 bytes missing! (tos 0xe1,ECT(1), ttl 13, id 13415, offset 312, flags [none], proto unknown (202), length 47824, options (EOL), bad cksum 9b80 (->6127)!)     8.0.69.0 > 0.100.50.68: ip-proto-202 21:01:26.845294 AF Unknown (18), length 102:     0x0000:  0300 0027 0dca 9b80 fee1 bad0 3467 0800  ...'........4g..     0x0010:  4500 0052 1f5b 4000 7e06 904e c1cb 7f33  E..R.[@.~..N...3     0x0020:  3ed5 cd28 f986 0548 847f 03a5 038d 4079  >..(...H......@y     0x0030:  5018 3fb5 c5a8 0000 2800 0000 1e00 0000  P.?.....(.......     0x0040:  0100 0080 0000 0732 0000 7b01 0400 0000  .......2..{.....     0x0050:  252f 3c00 281f 1e00 0000 1c4c            %/<.(......L 21:01:26.848301 IP15 truncated-ip - 47762 bytes missing! (tos 0xe1,ECT(1), ttl 13, id 13415, offset 312, flags [none], proto unknown (202), length 47824, options (EOL), bad cksum 9b80 (->50ca)!)     8.0.69.0 > 0.48.71.49: ip-proto-202 21:01:26.848325 IP15 truncated-ip - 47762 bytes missing! (tos 0xe1,ECT(1), ttl 13, id 13415, offset 312, flags [none], proto unknown (202), length 47824, options (EOL), bad cksum 9b80 (->50cc)!)     8.0.69.0 > 0.48.71.51: ip-proto-202 21:01:26.849301 IP15 truncated-ip - 47762 bytes missing! (tos 0xe1,ECT(1), ttl 13, id 13415, offset 312, flags [none], proto unknown (202), length 47824, options (EOL), bad cksum 9b80 (->50c7)!)     8.0.69.0 > 0.48.71.46: ip-proto-202 21:01:26.849327 IP15 truncated-ip - 47762 bytes missing! (tos 0xe1,ECT(1), ttl 13, id 13415, offset 312, flags [none], proto unknown (202), length 47824, options (EOL), bad cksum 9b80 (->e332)!)     8.0.69.0 > 0.48.99.212: ip-proto-202
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от parad (ok) on 12-Янв-14, 22:27
	запиши pcap файлик. одного пакета достаточно. + ifconfig на обоих гифах дай.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от Gruber on 13-Янв-14, 09:29
	> запиши pcap файлик. одного пакета достаточно. > + ifconfig на обоих гифах дай. Собсно на первой тачке: gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280     tunnel inet x.x.x.x --> y.y.y.y     options=17<ACCEPT_REV_ETHIP_VER,SEND_REV_ETHIP_VER> На второй стоит OpenBSD: # ifconfig gif0 gif0: flags=28051<UP,POINTOPOINT,RUNNING,MULTICAST,NOINET6> mtu 1280         priority: 0         groups: gif         physical address inet y.y.y.y --> x.x.x.x pcap файлик на яндекс диске - http://yadi.sk/d/UsTSnzXbFwAHf
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от parad (ok) on 15-Янв-14, 00:32
	ничего по этому не могу сказать.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	5. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от pavlinux (ok) on 13-Янв-14, 00:15
	> Да, я тож нигде не нашел 202, странно... Троян в сети, сливает кредитки в АНБ, пиши Сноудену!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от parad (ok) on 13-Янв-14, 01:33
	угу и хекс в первой строчке как бы об этом намекает. ) 0300 0027 0dca 9b80 fee1 bad0 3467 0800
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "tcpdump странные пакеты на gif интерфейсе"	+/–
	Сообщение от pavlinux (ok) on 13-Янв-14, 14:02
	> угу и хекс в первой строчке как бы об этом намекает. ) > 0300 0027 0dca 9b80 fee1 bad0 3467 0800 fee1 bad0  - на здоровье жалуется :) Йопт, это ж SkyNet!!!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема