drb 0 Опубликовано: 2007-12-30 11:32:59 Share Опубликовано: 2007-12-30 11:32:59 13:16:50.002142 arp who-has 192.168.0.1 tell 192.168.0.244 13:16:51.017804 arp who-has 192.168.0.1 tell 192.168.0.248 13:16:52.010659 arp who-has 192.168.0.1 tell 192.168.0.242 13:16:53.422773 arp who-has 192.168.0.1 tell 192.168.0.65 13:16:54.720158 arp who-has 192.168.0.1 tell 192.168.0.27 13:16:55.096462 arp who-has 192.168.0.1 tell 192.168.0.75 13:16:56.237181 arp who-has 192.168.0.1 (0:2:b3:2e:22:c2) tell 192.168.0.163 13:16:56.327976 arp who-has 192.168.0.1 tell 192.168.0.153 13:16:56.375383 arp who-has 192.168.0.1 tell 192.168.0.11 Среди обычного arp-трафика на шлюз 192.168.0.1 типа как 13:16:50.002142 arp who-has 192.168.0.1 tell 192.168.0.244 13:16:51.017804 arp who-has 192.168.0.1 tell 192.168.0.248 проскакивают вот такие строки 13:16:56.237181 arp who-has 192.168.0.1 (0:2:b3:2e:22:c2) tell 192.168.0.163 где после ІР в скобках МАС, причем МАС не поддельный на шлюзе действительно 0:2:b3:2e:22:c2. Такой трафик идет с 2-3 IP, от остальных нормальный. Что это может значить? Не снифер ли? Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2007-12-30 12:45:56 Share Опубліковано: 2007-12-30 12:45:56 Вообще tcpdump пишет в скобках мак, если это мак твоей системы. Чего не пишет во всех строчках - хз. Добавь опцию -e в запуск tcpdump, чтобы можно было глядеть на мак адреса. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас