Problem z pakietami reassembled PUD

Wszystko co nie mieści się w pozostałych kategoriach
Wiadomość
Autor
piroaa
fresh
fresh
Posty: 6
Rejestracja: 20 paź 2011, 23:13

Problem z pakietami reassembled PUD

#1

#1 Post autor: piroaa »

To mój pierwszy temat na form więc witam wszystkich forumowiczów.
Od pewnego czasu mam mały problem w sieci pojawiają się dziwne pakiety jest ich sporo ruch przychodzący czasem dochodzi do 5Mb.
Wygląda to trochę tak jak by jakiś switch po drodze przełączył się w huba i zamiast słać pakiety do odbiorcy wysyła je wszędzie, co jednak dziwne pakiety te kierowane są do jednego dwóch adresów w sieci i zawsze przechwycić można tylko ruch przychodzący nigdy wychodzący. Poniżej załączam scren z programu wireshark :
Obrazek
adres nadawcy pochodzi od google więc wirusa wykluczam.
Jeśli ktokolwiek może mieć jakikolwiek pomysł skąd może brać się taki dziwy ruch to czekam na wszelkie sugestie.
Pozdrawiam.

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#2

#2 Post autor: weis »

Podrzuc lepiej pcap zebysmy mogli zajrzec do pakietu bo to rozwiaze problem. Bez informacji o topologii i roli tego hosta do ktorego slane sa pakiet ciezko cokolwiek stwierdzic. Bardziej by sie przyda print screen z opcja follow tcp stream, bo to zapewne jest filtr na src i dst. A z serwerow google ktos moze pobierac wszystko, moze to byc chociazby ruch peer2mail.
Fire, aim, ready!

piroaa
fresh
fresh
Posty: 6
Rejestracja: 20 paź 2011, 23:13

#3

#3 Post autor: piroaa »

1. pcap: http://www.speedyshare.com/files/30908791/pakiety26
nie ma żadnego filtru widać po prostu strumień kierowany z zewnętrznego serwera do klienta, nie widać komunikacji w drugą stronę. W załączonym pliku przykład takiej komunikacji z serwerów google.
W tym przypadku coś krótkiego ale jak mówiłem lecieć potrafi tego nawet do 5Mb/s z jednego IP.
2. schemat sieci :
Obrazek
Poglądowy schemat sieci na S1 porty 0/0/4 oraz 0/0/3 mają włączoną separacje portów porty 0/0/1 oraz 0/0/2 są pozbawione tej opcji.
Switche S2 i S3 są niezarządzane snifer jest podpięty do switcha S2 bezpośrednio i ma publiczne IP, 10.120.0.26 to IP routera podłączonego do S3 po stronie WAN na ruterze dodatkowo jest NAT.
NAT uruchomiony jest również na routerze 2 dzięki temu 10.120.0.26 zmieniany jest na publiczne IP.
Rola hosta w sieci zarówno snifer jak i 10.120.0.26 to zwykłe końcówki nie ma tam uruchomionych żadnych usług atak raczej odpada.

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#4

#4 Post autor: weis »

Mi to wygląda na klasyczny Youtube. Lub inną usługę streamingową googla. Generalnie martwi mnie brak jakichkolwiek pakietów w stronę Moutain View. Moim zdaniem powinieneś zrobić capture na końcówce z którą jest problem. Jeśli tak się nie da zrób packet capture na routerku łapiący komunikacje z tego hosta, bo wydaje mi się że robisz capture w zły sposób.
Fire, aim, ready!

piroaa
fresh
fresh
Posty: 6
Rejestracja: 20 paź 2011, 23:13

#5

#5 Post autor: piroaa »

Witam
Może to faktycznie być Youtube lub cokolwiek innego, pakiety od klienta powinno dać się podrzucić, pytanie które rozwala moje pojmowanie sieci : co te pakiety w ogóle robią w na S2.
Z tego co mądrzy ludzie nakładali mi przez kilka lat do głowy powinno być mniej więcej tak :
1) klient ustala adres MAC swojej bramy domyślnej wysyła ramkę rozgłoszeniową i tak powinna być jak najbardziej widoczna w lokalizacji snifera.
2) brama w tym przypadku R2 odpowiada konkretnemu hostowi w sieci i tego nie powinienem już zobaczyć
3) mając MAC pakiety od klienta idą do S3 on przekazuje je na S1 przez port P 0/0/4, switch S1 ma swoją tablicę adresów MAC w związku z tym przekazuje pakiet poprzez port P 0/0/2 na router R2 router R2 przekazuje to do routera WAN a ten z kolei dalej poza moją sieć.
i trasa z powrotem :
1) router WAN przekazuje pakiet do R2 ten jeśli nie mam MAC klienta to ustala go
2) router mając MAC klienta przesyła pakiet do S1 na port P 0/0/2 ten ma tablice adresów MAC i skojarzonych z nimi portami w związku z tym przesyła pakiet do S3 przez port P 0/0/4, S4 również wie prze który port wysłać pakiety ko klienta i nikt poza klientem i routerem komunikacji nie widzi.

W sytuacji gdzie jeden switch zamienia się w hub cała reszta również bardzo szybko przestaje wyrabiać i zaczynają pracować jak huby cała sieć przestaje pracować wydajnie i każdy może zobaczyć komunikację każdego w obu kierunkach.

Tyle teoria natomiast czemu dzieje się tak że ja jestem w stanie widzieć komunikację która w ogóle nie powinna trafić do swicha do którego ja jestem wpięty od pytanie.

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#6

#6 Post autor: weis »

Poszukaj najpierw co powoduje iz przelaczniki zamieniaja sie w hub'y. Potem bedziemy martwic sie o reszte. Moze jakis host powoduje przepelnienie tablicy mac na ktoryms ze switchy co zmusza go do przejscia w tryb hub'a. I generalnie opisz troche lepiej topologie bo przynajmniej dla ,nie jest niejasna. I pamietaj ze WAN to nie Internet :wink:
Fire, aim, ready!

ODPOWIEDZ