Den_LocalNet 1 474 Опубликовано: 2008-02-01 21:42:50 Share Опубликовано: 2008-02-01 21:42:50 Столкнулся недавно с проблемой в сети. Обратил внимание на непонятное количество трафика и загрузку портов на свитчах. Включил снифер и увидел интересную картинку - я вижу трафик которых ходит между двумя удаленными компьютерами в сети. Например вижу как бежит трафик от нашего фтп сервера к клиенту (ftp-data). No. Time Source Destination Protocol Info 1 0.000000 10.10.10.14 194.0.9Х.ХХ TCP 34625 > 4526 [ACK] Seq=1 Ack=1 Win=65535 Len=1460 10.10.10.14 фтп 194.0.9Х.ХХ клиент посмотрел на свитчах мак таблицу: 300-400 маков т.е. таблицы на свитчах не переполнены. Может кто встречался - подскажите. Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-01 23:31:16 Share Опубліковано: 2008-02-01 23:31:16 где относительно клиентов включен сниффер? что за железки стоят? мак источника и мак назначения тоже хорошо бы привести. Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 07:51:46 Автор Share Опубліковано: 2008-02-02 07:51:46 Эта штука происходит не постоянно. Сегодня увижу - напишу ответ. Что интересно то чаще всего видно трафик между клиентами и фтп серверами... Редко когда чей-то интернет трафик. снифер пробовал включать в разных местах.... хоть в том же или соседнем свитче хоть в другом конце микрорайона. железки: сервера включены в TP-Link Smart WEB (пробовали менять на DES-1016G) через 3 свитча от него включены клиенты которых я видел снифер включен может быть куда годно. вот ещё заметил такую штуку: Если на TP-Link активировать все в Storm Control(broadcast, multicast, UL) и поставить rate limit 64кбит то сеть попускает. Но у некоторых клиентов скорость переодически бывает 8 кбайт/сек с фтп сетевого. Выходит что фтп отдает клиенту трафик и этот трафик как броадкаст рулит всем. Помогите а то скоро с ума сойду с этой проблемой. Ссылка на сообщение Поделиться на других сайтах
J.McKey 0 Опубліковано: 2008-02-02 08:04:41 Share Опубліковано: 2008-02-02 08:04:41 Столкнулся недавно с проблемой в сети.Обратил внимание на непонятное количество трафика и загрузку портов на свитчах. Включил снифер и увидел интересную картинку - я вижу трафик которых ходит между двумя удаленными компьютерами в сети. Например вижу как бежит трафик от нашего фтп сервера к клиенту (ftp-data). No. Time Source Destination Protocol Info 1 0.000000 10.10.10.14 194.0.9Х.ХХ TCP 34625 > 4526 [ACK] Seq=1 Ack=1 Win=65535 Len=1460 10.10.10.14 фтп 194.0.9Х.ХХ клиент посмотрел на свитчах мак таблицу: 300-400 маков т.е. таблицы на свитчах не переполнены. Может кто встречался - подскажите. full protocol decode сделайте, если там данные то это просто скорее всего шаринг какого-то из клиентов. Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 08:50:42 Автор Share Опубліковано: 2008-02-02 08:50:42 full protocol decode сделайте, если там данные то это просто скорее всего шаринг какого-то из клиентов. можно поподробнее? Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 08:55:00 Автор Share Опубліковано: 2008-02-02 08:55:00 No. Time Source Destination Protocol Info 1 0.000000 10.10.10.14 194.0.9Х.ХХ TCP 60266 > alias [ACK] Seq=1 Ack=1 Win=65535 Len=1460 Frame 1 (1514 bytes on wire, 1514 bytes captured) Ethernet II, Src: Intel_81:2b:b8 (00:19:d1:81:2b:b8), Dst: EdimaxTe_b9:9c:10 (00:0e:2e:b9:9c:10) Internet Protocol, Src: 10.10.10.14 (10.10.10.14), Dst: 194.0.9Х.ХХ (194.0.9Х.ХХ) Transmission Control Protocol, Src Port: 60266 (60266), Dst Port: alias (1187), Seq: 1, Ack: 1, Len: 1460 Data (1460 bytes) 0000 2f 77 37 b7 53 da 9b 6d d3 9d 6d bb 0a 1b be d9 /w7.S..m..m..... 0010 16 b0 fb a2 aa b4 f7 6f dc 38 9f f1 da 70 f6 f9 .......o.8...p.. 0020 ef 4f fb 0f 6c 77 31 fa 7b 3d df ab 3f 74 f4 c3 .O..lw1.{=..?t.. 0030 6f a3 f7 68 dd 59 f5 94 fe 73 8e c8 b3 09 cc 7f o..h.Y...s...... 0040 22 a8 f7 69 c8 7f 4f a9 a6 29 b6 fa 79 5f fe b9 "..i..O..)..y_.. 0050 56 5b ab 1f ad 87 54 4d fa 88 dd 74 3d b1 ca f2 V[....TM...t=... 0060 99 52 55 de 66 9a df 6d f5 3f 49 fa f5 ef 32 f5 .RU.f..m.?I...2. 0070 db bb 4b db 5e 97 bb 0e b4 d2 9f 49 ac 87 96 ae ..K.^......I.... 0080 c8 9a ce 7a bc 33 fa ff bc 23 db 67 bd de 1c ad ...z.3...#.g.... 0090 de 10 f2 d7 7d e5 7a e1 13 67 81 e0 3f 81 63 53 ....}.z..g..?.cS 00a0 88 cd fa 4e 91 87 10 61 e8 21 0f f0 21 fc b3 db ...N...a.!..!... 00b0 7b a4 c2 d0 6a ab c3 fc b9 a8 9e 09 96 c1 81 08 {...j........... 00c0 21 17 ab bf df 65 bd 26 c8 a1 86 c3 40 3c 04 18 !....e.&....@<.. 00d0 22 12 74 8d 35 bf ec 45 d3 eb 61 7c c8 26 15 84 ".t.5..E..a|.&.. 00e0 00 0c 4c 07 32 46 32 64 70 d1 b1 24 b1 1b e8 5b ..L.2F2dp..$...[ 00f0 d7 37 3e 1f cd bc 3e 96 ea 97 24 25 25 1c ec 3a .7>...>...$%%..: 0100 27 6a 77 c6 35 27 3e 3d bb 4b ee 38 c6 fe e5 3c 'jw.5'>=.K.8...< 0110 82 76 3b 11 11 c2 b4 d6 53 f8 5b 76 1c 4d 11 f3 .v;.....S.[v.M.. 0120 74 9c ab 46 57 f5 b9 67 29 e5 0b be a6 71 f2 19 t..FW..g)....q.. 0130 64 d3 cb d7 16 51 1e 86 13 3c 87 d6 3f bd 0e 3a d....Q...<..?..: 0140 ed c7 35 9d 35 56 e7 cf bd fb 7e fa 3f dc 8e 99 ..5.5V....~.?... 0150 1f f4 c4 13 67 1b 7c 8e e7 2a 98 fc 3d 89 96 59 ....g.|..*..=..Y 0160 21 11 6e d7 0a c4 31 f4 57 e5 a7 5e f8 e2 df b9 !.n...1.W..^.... 0170 61 cb 6d 26 7c 15 51 a5 42 45 8c fb 90 34 ca e0 a.m&|.Q.BE...4.. 0180 62 0f d9 d0 78 0f d9 41 48 5d f4 de a8 38 0a dd b...x..AH]...8.. 0190 96 05 34 c7 c3 d9 03 27 85 e5 4d 40 61 18 14 69 ..4....'..M@a..i 01a0 5a f7 0a 2e 3c ea 1e e3 ec 3a 98 dc 14 42 3b 21 Z...<....:...B;! 01b0 04 4b fc 4f 6b 77 75 64 27 82 52 b0 78 08 22 53 .K.Okwud'.R.x."S 01c0 83 33 72 31 2e 5b 51 47 05 d0 60 3c 0f 01 04 78 .3r1.[QG..`<...x 01d0 1d 03 80 83 7e 95 55 10 0b 6a f6 12 8a 01 44 0c ....~.U..j....D. 01e0 25 01 e2 e6 b8 a3 d9 d8 14 a4 6f a3 77 c6 c1 60 %.........o.w..` 01f0 0f 01 05 28 3c 04 0f 69 c1 84 21 e6 63 71 4e d8 ...(<..i..!.cqN. 0200 86 11 05 56 1a d6 83 db 0e 05 96 a5 6a 0a 3d 6e ...V........j.=n 0210 6c 91 cf fb 3b 4f 53 2d a7 ec cf de d4 6e 15 09 l...;OS-.....n.. 0220 23 ac 1e fa fa d5 ac ae e2 c2 fc 81 65 cb c1 ab #...........e... 0230 45 ab 9b a0 78 0f d4 c1 93 0f 47 82 1e ff de dd E...x.....G..... 0240 f7 6f 2c 70 f4 1e 02 0c 5a 9e ab 99 ad 55 ac 46 .o,p....Z....U.F 0250 e0 4e 02 08 37 84 a0 0f f2 85 6c 66 92 d7 1b 00 .N..7.....lf.... 0260 c0 61 08 74 0a 26 4b 55 35 98 ba 07 17 40 4b 5d .a.t.&KU5....@K] 0270 a4 ed c3 58 55 86 cf 78 b4 3d b0 ac 89 46 68 e1 ...XU..x.=...Fh. 0280 77 c6 e8 58 da 65 37 c1 5e e3 97 a3 b9 3f 21 f2 w..X.e7.^....?!. 0290 cc 33 86 5a 19 a9 be 13 63 d1 6e 54 44 6c 83 52 .3.Z....c.nTDl.R 02a0 2b d6 bf 0f 6a 40 fd 48 24 51 08 75 f1 f7 c3 ee +...j@.H$Q.u.... 02b0 bf bb 3f b6 dc ec 3e e3 a4 c5 88 c8 b3 cd b3 cf ..?...>......... 02c0 87 dd 77 7c 7d 3c 9b e1 ef 6c 3c f4 89 f3 ae b8 ..w|}<...l<..... 02d0 73 6a 7c 21 f8 f5 28 3b 27 21 14 8e 2f d1 5c c8 sj|!..(;'!../.\. 02e0 45 32 71 d9 df c1 51 8b 10 36 fb 0f 92 26 58 7c E2q...Q..6...&X| 02f0 b4 69 d9 f8 59 ee d3 f9 14 73 7e 77 cc dd 88 df .i..Y....s~w.... 0300 0f 3e 95 37 fe f6 f9 c7 3b f6 4c d9 14 26 8e fe .>.7....;.L..&.. 0310 e9 87 34 59 d8 9a f7 c9 f9 9a 7e ae ed e8 89 fa ..4Y......~..... 0320 bb 91 37 fa 74 36 13 f8 fc 2b b1 07 8f b7 64 ab ..7.t6...+....d. 0330 bf 5e b9 d2 26 ed 67 2c 76 62 f1 fd 76 b7 e6 2c .^..&.g,vb..v.., 0340 e9 68 e6 d2 2e 55 ce 67 ed 22 aa 06 5d ec eb eb .h...U.g."..]... 0350 57 75 cd 04 a9 a8 db 27 96 56 da 9e 70 e2 8c eb Wu.....'.V..p... 0360 ad b8 45 7f f9 65 91 fd ab b6 93 d7 ba 16 ba 2c ..E..e........., 0370 8c 62 ca 7f d3 4f 21 f4 f3 c8 85 31 e6 8e a2 d3 .b...O!....1.... 0380 5c 3d bb 6d 2f 67 08 3f 38 e4 d4 05 8e 9f 99 87 \=.m/g.?8....... 0390 e2 87 bd b6 f7 1d c8 e0 dd dd 87 1b ea 56 7d d4 .............V}. 03a0 f9 97 8f f5 6c a2 81 a8 86 23 81 af d7 19 ab 57 ....l....#.....W 03b0 f9 0e 36 b0 29 47 b9 ef 5e 53 c4 47 83 b9 bf 23 ..6.)G..^S.G...# 03c0 1e 82 94 43 d6 d8 de 52 11 e1 70 20 ea 65 6b ef ...C...R..p .ek. 03d0 4e b7 5f e6 3d b4 07 e9 fc d2 a5 36 a2 70 6a 11 N._.=......6.pj. 03e0 c1 80 3d 22 46 cb 2f e2 d4 54 50 14 60 c9 6d 12 ..="F./..TP.`.m. 03f0 9b 51 57 2c 78 38 81 4a 0c c8 8f 44 bf f1 bb 39 .QW,x8.J...D...9 0400 b4 29 59 2e a2 3a bb 94 e3 62 80 61 e0 33 6c 09 .)Y..:...b.a.3l. 0410 3b 14 53 e1 3c bb 73 ed 63 c2 c0 3c 04 12 20 c0 ;.S.<.s.c..<.. . 0420 86 9d 82 fc 69 bf f7 b6 38 11 00 d8 25 e0 fc 4a ....i...8...%..J 0430 54 df 7b dc 96 8d 2d 97 11 9c cf 3e 8f 96 ae 2d T.{...-....>...- 0440 b2 f8 e1 24 90 40 6e c0 91 0f 40 34 b3 e6 e5 95 ...$.@n...@4.... 0450 67 b5 2b 3c b9 a4 0f b5 27 12 66 d6 23 f7 e0 e3 g.+<....'.f.#... 0460 17 0a 66 6c 3d af fd 7a ec 88 8f ef 1d ab 9b 87 ..fl=..z........ 0470 f4 b6 e9 03 ec 23 f7 7b 60 aa 29 90 87 70 b7 22 .....#.{`.)..p." 0480 d8 47 be 9e dc de c2 2e ff d3 ce 9d 4c 44 e9 31 .G..........LD.1 0490 ec d2 47 f8 ef 0e 68 7b 3c 5b 98 ed 5a 84 3f a7 ..G...h{<[..Z.?. 04a0 b4 7f 9e 4d 8e 24 44 f0 9a 9f 25 cb 2e 74 ff b0 ...M.$D...%..t.. 04b0 fb 6f 76 4a b8 d5 88 ab 60 98 04 14 e9 07 d6 f9 .ovJ....`....... 04c0 b8 d7 94 ad 2a c7 d0 06 48 23 46 18 ad cd 53 37 ....*...H#F...S7 04d0 7b 2c 26 0c 40 f0 1f c7 83 26 05 18 29 42 1b 1f {,&.@....&..)B.. 04e0 2e 6e e3 19 b2 d3 c1 38 18 74 25 7c 46 03 8c 26 .n.....8.t%|F..& 04f0 6e f7 f9 22 9b 49 cd 3f f4 f3 7a 1d ff f4 a8 8e n..".I.?..z..... 0500 6c 90 c3 87 7b c3 f4 fa 7f 1a b0 86 e7 aa dd a7 l...{........... 0510 19 ed 27 0f 71 ea cc 4f 7d 6e c2 6c 15 cf 5d df ..'.q..O}n.l..]. 0520 bc 44 f7 af 6d b4 b3 f8 97 3b 87 2b a1 64 b7 cf .D..m....;.+.d.. 0530 b9 bf 29 9b 5c 98 c8 7f ff b4 ae 2c f2 63 a4 b5 ..).\......,.c.. 0540 44 eb ca 09 65 da de 95 10 2f e6 1b f2 c7 de de D...e..../...... 0550 2c 8c f6 99 54 c9 67 f6 c2 64 32 f5 cb 89 12 fb ,...T.g..d2..... 0560 6d a4 c4 58 b1 f5 49 ed ea 48 9e d5 f0 e3 21 49 m..X..I..H....!I 0570 4b 2b b4 71 ce ba 1c ee 53 9a 1e a7 db 7c 3c fc K+.q....S....|<. 0580 e7 21 ed 0e 71 77 c3 af 18 8f a3 73 6f e1 50 26 .!..qw.....so.P& 0590 ee 4b fb 9c 87 99 13 d2 28 a3 84 39 f8 12 26 ad .K......(..9..&. 05a0 0e b2 37 c3 b6 e9 12 d3 22 6d 14 73 7c 44 ee ad ..7....."m.s|D.. 05b0 b3 87 a9 ed .... No. Time Source Destination Protocol Info 2 0.000114 10.10.10.14 194.0.9Х.ХХ TCP 60266 > alias [ACK] Seq=1461 Ack=1 Win=65535 Len=1460 Frame 2 (1514 bytes on wire, 1514 bytes captured) Ethernet II, Src: Intel_81:2b:b8 (00:19:d1:81:2b:b8), Dst: EdimaxTe_b9:9c:10 (00:0e:2e:b9:9c:10) Internet Protocol, Src: 10.10.10.14 (10.10.10.14), Dst: 194.0.9Х.ХХ (194.0.9Х.ХХ) Transmission Control Protocol, Src Port: 60266 (60266), Dst Port: alias (1187), Seq: 1461, Ack: 1, Len: 1460 Data (1460 bytes) 0000 e9 ec 7b 91 33 76 1e 7e 4d f8 76 5d 8f 7e 99 ad ..{.3v.~M.v].~.. 0010 e9 1c cf cc 22 f2 d8 59 f6 70 4e fa 79 ed 3f f0 ...."..Y.pN.y.?. 0020 8e 6a 7b 73 7b b3 67 4e d5 3b d1 b9 fd e0 b2 42 .j{s{.gN.;.....B 0030 c9 e9 ef 69 ed 93 ab 21 fa 39 96 7c f1 d9 16 fe ...i...!.9.|.... 0040 b0 99 72 f9 df 4e 85 3e 82 b7 0c 1a 6f 6b 74 c9 ..r..N.>....okt. 0050 9f b5 fb 9b 55 82 fe fe 38 b3 4a ed 20 55 37 f9 ....U...8.J. U7. 0060 f9 5e 51 82 fc 94 8e f6 3a 43 0f a3 85 5c 3f 41 .^Q.....:C...\?A 0070 dd 08 8a 78 15 9f 81 22 6c 15 c2 09 40 46 7d be ...x..."l...@F}. 0080 a6 13 5a bf b8 c2 b2 fc c2 13 4d 89 72 de 1f 6b ..Z.......M.r..k 0090 4e d5 0f 6e db a7 f7 0f bc 6c b4 85 16 bc b5 3d N..n.....l.....= 00a0 c5 df 24 7a 69 cf 52 6c ba 23 d1 e8 2a db 8b 74 ..$zi.Rl.#..*..t 00b0 f4 3d da 6d 41 52 78 ec c4 20 d9 1f ed ca 84 44 .=.mARx.. .....D 00c0 3b 82 ad 0e 67 28 b2 47 b7 ff 39 2b d4 0b 5e 95 ;...g(.G..9+..^. 00d0 9c 88 d3 a8 b6 99 7f ca a7 90 31 79 b1 d8 79 97 ..........1y..y. 00e0 a1 4e c5 a8 46 51 b6 a9 74 3b 39 23 96 71 cd 9b .N..FQ..t;9#.q.. 00f0 10 ca d8 d5 c9 c6 e3 b6 eb 4a d6 a4 29 8f d3 16 .........J..)... 0100 e5 71 01 24 03 ad 57 d3 d2 98 4f 43 cd ca 56 6a .q.$..W...OC..Vj 0110 b4 9f cb d5 f2 ba c1 b4 0f 6b 49 ff a6 eb e7 01 .........kI..... 0120 02 ee 59 21 00 5b 06 03 e0 81 f4 d7 6d c3 ca 3e ..Y!.[......m..> 0130 93 b6 52 15 b0 fb e1 80 20 b3 04 af ec 5f a1 ab ..R..... ...._.. 0140 86 85 c9 b8 ab ea 24 04 77 8e c1 9b 52 0c 3c 48 ......$.w...R.<H 0150 10 e4 80 e0 f2 68 0e 3e ae 64 2f ff 6b d3 c0 c0 .....h.>.d/.k... 0160 64 8a b9 f1 6b 32 04 2d ff 42 51 77 b2 6c c7 2c d...k2.-.BQw.l., 0170 d6 96 da f7 36 1f 33 a5 86 1e 81 99 02 5b 49 5b ....6.3......[i[ 0180 55 7a 7d 48 d9 65 93 a7 d2 4b 90 b2 f0 84 61 fd Uz}H.e...K....a. 0190 b8 66 65 d2 af a9 3d d1 40 49 2c 3c 6f b1 ca f4 .fe...=.@I,<o... 01a0 aa da 81 de e7 ef 66 6c 76 81 e5 70 cc 03 fa 23 ......flv..p...# 01b0 aa d9 1c 68 47 97 d3 f8 b5 13 33 d4 e2 73 16 39 ...hG.....3..s.9 01c0 f6 d7 09 04 21 fd 4f e9 a4 e8 6a f0 fe ed d9 8d ....!.O...j..... 01d0 af 5f a3 9c 0f 0f 6d d6 ae 7d fc 67 91 32 16 41 ._....m..}.g.2.A 01e0 90 52 7f 6e e8 dc c8 bd 5d f7 b6 46 d3 f9 49 86 .R.n....]..F..I. 01f0 45 34 ef 6c 24 7b d2 55 e4 a2 64 1a b2 62 d0 f2 E4.l${.U..d..b.. 0200 4d e5 95 68 7a f3 69 ef bf 2f 5f 9d 3e 7c 47 7c M..hz.i../_.>|G| 0210 56 f3 77 70 bb 77 31 3f 6f f3 ae f6 59 0e c7 e4 V.wp.w1?o...Y... 0220 72 cd d7 cd f4 b3 07 3e e0 49 19 47 37 b4 27 5d r......>.I.G7.'] 0230 9b 6a 95 9c 31 2f ca 10 d5 77 81 5d bb 61 3c 87 .j..1/...w.].a<. 0240 1b ed 2b ce f0 f2 c9 92 c2 23 50 19 3c cf e4 ea ..+......#P.<... 0250 3a 78 4e 23 0e ea b9 36 52 3a f8 a1 cd a1 dc bc :xN#...6R:...... 0260 b5 ec 2d 22 d3 25 73 af 2c d6 9f be aa 1d 69 84 ..-".%s.,.....i. 0270 da 93 ec fa 79 1d f8 47 25 e9 ea e1 e8 73 b6 45 ....y..G%....s.E 0280 22 ce c8 1a f6 e1 f6 44 dd 85 bf 45 4d 1e c3 d5 "......D...EM... 0290 b4 83 48 59 ca 7f 8f 65 fd e1 e7 e9 03 a7 f3 cd ..HY...e........ 02a0 4d cf 3b 3a 47 e7 af 67 21 f7 c2 17 90 8f 42 29 M.;:G..g!..... 02b0 d4 d6 3d fd 73 3b fd 37 37 1d 88 fc 8d fe fc f1 ..=.s;.77....... 02c0 7c eb 73 3e e5 27 e4 87 49 1b db 9e f3 d7 ea cf |.s>.'..I....... 02d0 f6 f0 86 8c d6 ad 28 9f df ed c8 e7 0a eb 8d 37 ......(........7 02e0 6e ca 12 c8 74 79 8c ef 3d e5 be af 74 ad c9 c9 n...ty..=...t... 02f0 3d 0f a8 dc 03 71 de e7 d5 fc 03 67 a0 bb 3b 7d =....q.....g..;} 0300 42 53 bf b5 5f 60 4c ae 73 e7 dc 12 52 15 1e 6f BS.._`L.s...R..o 0310 b3 b8 a5 63 83 2a 96 4f 9e 32 95 5f 3b 5c 75 b2 ...c.*.O.2._;\u. 0320 fe 6f 48 5a e9 f8 a1 cf 97 6f 69 73 92 bd 6e 4b .oHZ.....ois..nK 0330 61 f4 ff 68 ea ec 79 74 d0 18 b6 7b 81 26 89 cb a..h..yt...{.&.. 0340 00 43 e3 06 64 12 62 c1 49 dc b7 ca 48 06 f6 82 .C..d.b.I...H... 0350 2f 4f a8 a2 7a d7 e4 fb db 16 88 c3 f2 de 2e 46 /O..z..........F 0360 2a 1f 4a a2 da 42 6c 14 9a a7 61 f9 1e 4e 98 46 *.J..Bl...a..N.F 0370 97 3f 77 24 ca f4 d1 cc 88 cf 3b 9d 20 8f 61 cd .?w$......;. .a. 0380 30 ec 0b 1d 76 89 cd ed 1b 9d 59 db f4 77 dd f1 0...v.....Y..w.. 0390 0d ca 41 97 7d b3 5f b2 f4 85 f1 77 bc 87 64 b0 ..A.}._....w..d. 03a0 89 f7 d9 c3 c4 d2 48 d7 e0 49 32 70 f1 61 f0 32 ......H..I2p.a.2 03b0 df 3c bd a6 25 e9 e6 c5 30 4a 97 f7 ae 0a e3 b0 .<..%...0J...... 03c0 80 d4 bd 3c 4d 3f ab 5b 45 43 31 1f ff e9 13 d7 ...<M?.[EC1..... 03d0 34 32 db 2e 12 9a ab 1e 08 a0 c0 a1 06 48 d2 74 42...........H.t 03e0 9f b3 17 e2 07 30 85 b5 6e c2 10 b6 08 63 e8 ad .....0..n....c.. 03f0 8b 2e 74 fd 68 3c a7 d7 34 9d f0 f2 a9 ba 0a 0c ..t.h<..4....... 0400 08 35 71 94 52 03 8f a0 cb 60 ca 13 65 f6 0c 1c .5q.R....`..e... 0410 12 00 ea 4a 21 26 6a 6f 2c 25 f3 a4 76 5e db 3d ...J!&jo,%..v^.= 0420 e2 9a f6 4d 47 26 61 e7 ca 27 62 b1 1a 97 83 38 ...MG&a..'b....8 0430 7b fa 58 77 e5 58 fe ab 99 9f 2b b4 24 c8 6f 33 {.Xw.X....+.$.o3 0440 67 0f 17 6d 8c fc 22 a4 f3 87 67 d6 1f f2 f3 4d g..m.."...g....M 0450 46 b8 78 c2 b4 e3 8c ab a3 23 4b 32 69 11 91 d9 F.x......#K2i... 0460 77 fe b4 22 f7 36 36 06 fb 6a 26 eb 83 72 b2 f1 w..".66..j&..r.. 0470 df c7 b0 b2 ec 8a 61 11 40 82 07 a6 aa de 9f 0b ......a.@....... 0480 ea 84 a5 4d 2b 91 44 b4 fe f8 71 b0 5d 03 0e b7 ...M+.D...q.]... 0490 f4 4a 54 a6 db 54 4e 9f 14 79 78 75 00 50 64 f2 .JT..TN..yxu.Pd. 04a0 ac e4 20 6d 5b 5d 5d 95 13 b7 3c e1 e7 21 fc 88 .. m[]]...<..!.. 04b0 8d ce 39 b3 79 1c da 8d ef 2f ba 77 c7 ac 5a bb ..9.y..../.w..Z. 04c0 e1 e4 5c 45 d9 1b e1 de db be 4e 3d ba 5d f6 8b ..\E......N=.].. 04d0 72 58 44 aa 85 07 fd 31 1b 87 7f 86 67 e5 3b f0 rXD....1....g.;. 04e0 da 3f eb 97 08 bd 39 4a 4e fd 1e 1c a8 f9 ae 1e .?....9JN....... 04f0 fb ad 52 fc a2 9e 97 38 ef 6f 01 f4 97 fb 6c b6 ..R....8.o....l. 0500 2c 44 30 04 15 5f 63 db 67 48 4a 0f f3 a8 3b d7 ,D0.._c.gHJ...;. 0510 09 82 18 8d 15 e6 ca 61 7e e9 27 63 9b 0d 29 44 .......a~.'c..)D 0520 b6 53 2b b7 b6 ae 88 98 2f 03 24 06 bb 3d 93 6f .S+...../.$..=.o 0530 7b 21 08 b0 14 60 d2 7b 6e c9 c5 de 3b 1f 37 4b {!...`.{n...;.7K 0540 bf c4 5c 7b 43 10 f3 62 11 f0 43 1c de d3 22 d1 ..\{C..b..C...". 0550 e0 97 3f c5 fa 27 1e 04 21 27 1b 99 25 a7 c4 60 ..?..'..!'..%..` 0560 71 be ec 3a 67 f6 e5 3d f1 cd 44 98 b7 67 7a 47 q..:g..=..D..gzG 0570 02 11 f6 cb 8e 68 9e 9e bd 3c d5 cd be 3d b9 90 .....h...<...=.. 0580 37 17 c9 21 fb d3 a9 7d bd 9e 67 b8 fd 3c ec 40 7..!...}..g..<.@ 0590 fa 79 d5 dd bf 68 d2 70 8d 9c 6c e6 f9 c1 5b c3 .y...h.p..l...[. 05a0 3f 43 73 cf 52 a7 b4 a7 fa f6 89 97 91 f2 a6 1e ?Cs.R........... 05b0 fe 43 8b 1f .C.. Ссылка на сообщение Поделиться на других сайтах
karimovru 1 Опубліковано: 2008-02-02 10:08:15 Share Опубліковано: 2008-02-02 10:08:15 Выходит что фтп отдает клиенту трафик и этот трафик как броадкаст рулит всем. А на этом фтп с которого идет отдача сетевушка не марвел юкон ? Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 13:29:23 Автор Share Опубліковано: 2008-02-02 13:29:23 Выходит что фтп отдает клиенту трафик и этот трафик как броадкаст рулит всем. А на этом фтп с которого идет отдача сетевушка не марвел юкон ? Ethernet II, Src: Intel_81:2b:b8 (00:19:d1:81:2b:b8), Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-02 14:05:53 Share Опубліковано: 2008-02-02 14:05:53 10.10.10.14 194.0.9Х.ХX из сети в сеть? где то маршрутизатор стоит? ну судя по выкладкам и на сетевом и на канальном уровне бродкастить не должно. остается сумасшедшее железо. Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 14:29:55 Автор Share Опубліковано: 2008-02-02 14:29:55 примерно так оно Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 14:34:13 Автор Share Опубліковано: 2008-02-02 14:34:13 10.10.10.14 фтп 194.0.91.1 шлюз там же и 10.0.0.1/8 сидит 194.0.91.30 микрорайонный шлюз 192.168.20.25 абонент который из-за ната на 194.0.91.30 качает фильм с 10.10.10.14 находясь что в одной точке со снифером что в другой я вижу трафик. Замечание 1: Не всегда я вижу трафик. Замечание 2: если с фтп качают 10 абонентов, то вижу я трафик кого-то одно.... с остальными все ок.... иногда двух вижу. Замечание 3: это не конкретный фтп т.к. замечены все фтп сервера и даже иногда трафик инет-клиент. Заранее спасибо за помощь Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-02 18:23:26 Share Опубліковано: 2008-02-02 18:23:26 еще одна бредовая идея с моей стороны: мак получателя реален? он проверялся? арп таблица на фтп сервере верная? но из-за этого может лупить разве что только в пределах канальной сети. а за маршрутизатор может попадать только через сетевой уровень... может кто-то атакует фтп и маршрутизатор и в итоге у них левые арп таблицы? Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-02 18:24:39 Share Опубліковано: 2008-02-02 18:24:39 и еще уточняющий вопрос: траффик видно в обе стороны или только в одну? Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 22:17:30 Автор Share Опубліковано: 2008-02-02 22:17:30 и еще уточняющий вопрос: траффик видно в обе стороны или только в одну? только в одну: от фтп к клиенту Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-02 22:19:54 Автор Share Опубліковано: 2008-02-02 22:19:54 еще одна бредовая идея с моей стороны: мак получателя реален? он проверялся? арп таблица на фтп сервере верная? но из-за этого может лупить разве что только в пределах канальной сети. а за маршрутизатор может попадать только через сетевой уровень... может кто-то атакует фтп и маршрутизатор и в итоге у них левые арп таблицы? проверил - все верно подмены нет. дополнение: лажа такая только если фтп и клиент в разных подсетях. часть фтп включена в TP-Link а часть в DGS-3024. Так вот видет трафик только с фтп которые сидят на ТПлинке. Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2008-02-02 22:26:58 Share Опубліковано: 2008-02-02 22:26:58 Чудеса какие-то. А есть возможность поменять этот тп-линк на что-то другое временно? Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-02 23:07:59 Share Опубліковано: 2008-02-02 23:07:59 дополнение: лажа такая только если фтп и клиент в разных подсетях. маршрут по умолчанию на фтп сервере куда прописан? да и если бок только если все это дело валит через маршрутизатор то возможно в нем проблема. что там за маршруты? часть фтп включена в TP-Link а часть в DGS-3024. Так вот видет трафик только с фтп которые сидят на ТПлинке. не понял совсем. нарисуй - будет понятнее. Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-03 01:43:05 Автор Share Опубліковано: 2008-02-03 01:43:05 Чудеса какие-то. А есть возможность поменять этот тп-линк на что-то другое временно? им заменили длинк DGS-1016 по той же причине Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-03 01:55:06 Автор Share Опубліковано: 2008-02-03 01:55:06 дополнение: лажа такая только если фтп и клиент в разных подсетях. маршрут по умолчанию на фтп сервере куда прописан? да и если бок только если все это дело валит через маршрутизатор то возможно в нем проблема. что там за маршруты? на фтп Описание . . . . . . . . . . . . : Intel® PRO/1000 PL Network Connection Физический адрес. . . . . . . . . : 00-19-D1-81-2B-B8 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.10.14 Маска подсети . . . . . . . . . . : 255.0.0.0 IP-адрес . . . . . . . . . . . . : 194.0.91.104 Маска подсети . . . . . . . . . . : 255.255.255.128 Основной шлюз . . . . . . . . . . : 194.0.91.1 DNS-серверы . . . . . . . . . . . : 194.0.91.1 =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x30003 ...00 19 d1 81 2b b8 ...... Intel® PRO/1000 PL Network Connection =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 194.0.91.1 194.0.91.104 10 10.0.0.0 255.0.0.0 10.10.10.14 194.0.91.104 10 10.10.10.14 255.255.255.255 127.0.0.1 127.0.0.1 10 10.255.255.255 255.255.255.255 10.10.10.14 194.0.91.104 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 194.0.91.0 255.255.255.128 194.0.91.104 194.0.91.104 10 194.0.91.104 255.255.255.255 127.0.0.1 127.0.0.1 10 194.0.91.255 255.255.255.255 194.0.91.104 194.0.91.104 10 224.0.0.0 240.0.0.0 194.0.91.104 194.0.91.104 10 255.255.255.255 255.255.255.255 194.0.91.104 194.0.91.104 1 Основной шлюз: 194.0.91.1 =========================================================================== Постоянные маршруты: Отсутствует на маршрутизаторе нет статических маршрутов для этих подсетей. часть фтп включена в TP-Link а часть в DGS-3024. Так вот видет трафик только с фтп которые сидят на ТПлинке. не понял совсем. нарисуй - будет понятнее. 10.10.10.2, 10.10.10.3 и 10.10.10.14 это фтп сервера включенные в TP-Link свитч есть ещё 10.10.10.4 10.10.10.5 и т.п. включеных в DGS-3024 свитч Так вот трафик видно только с тех что в TP-Link включены а те что в DGS-3024 те не замечал ниразу. добавлю: На TP-Link есть в настройках Storm Control так вот там поставил Broadcast Control, Multicast Control, UL Control в enable и Limit Rate 64 Кбит/сек Теперь у клиентов выборочно скорость 8кбайт/сек и только у тех кого я вижу снифером. Причем трафик к одному и тому же абоненту может быть виден снифером и зашейплен свитчем, а через 10 минут может уже качать нармально и снифер молчит. Кажется я начинаю сходить с ума Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-03 08:02:19 Share Опубліковано: 2008-02-03 08:02:19 тааакс. продолжаем разговорь :-) IP-адрес . . . . . . . . . . . . : 10.10.10.14 Маска подсети . . . . . . . . . . : 255.0.0.0 IP-адрес . . . . . . . . . . . . : 194.0.91.104 Маска подсети . . . . . . . . . . : 255.255.255.128 я так понимаю что на сетевушке алиасом прописан второй адрес. сеть 10,0,0,0 является подключенной, весь остальной трафф заворачивается на маршрутизатор. т.е. траффик на клиента 194.0.91.X идет через маршрутизатор с 194.0.91.104. на канальном уровне фактически дублируется. имхо следует попробовать убрать с фтп один из ip, может из-за этого бока... еще порция размышлений по логике явления. обмен между клиентом 194.0.91.X ведется с сетевушки 10.10.10.X. при отправке пакета накладывается маска, определяется что сеть другая и по идее должен быть поставлен мак маршрутизатора и пакетик отпущен. мак получателя в пакете чей? Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 474 Опубліковано: 2008-02-03 08:30:57 Автор Share Опубліковано: 2008-02-03 08:30:57 странно что оно вообще идет через маршрутизатор потому что фтп и абонент сидят в одной подсети. Убрать один из адресов нельзя потому что линки с которых качают прописаны на 10.10.10.14(больше абонентов за натом сидит) мак получателя и есть маком получателя (т.е. маки только фтп и клиентов) ещё не понятно почему маршрут такой глупый: 10.0.0.0 255.0.0.0 10.10.10.14 194.0.91.104 Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2008-02-03 08:56:42 Share Опубліковано: 2008-02-03 08:56:42 У нас была такая фигня. Да и сейчас есть, но очень мало. Бывает, проскальзывает по 1 пакету от сервера, или от клиента. Естественно не вся сессия, а какие-то отдельные пакеты, причем очень редкие. Могу объяснить, почему от сервера чаще. Для этого надо посмотреть на свичи и на компы. Свич работают как - если пришел пакет на неизвестный mac адрес, он его (пакет) посылает на все порты. А когда приходит ответ и свич знает, на каком порту этот mac-адрес, остальные пакеты он посылает уже на нужный порт. Поэтому после включения в сеть свич рассылает по одному пакету во все порты на каждый новый mac адрес. Это не так страшно - 500 юзеров = 500 пакетов. По мере работы свич заполняет arp-таблицу и пакеты на все порты отправляет по мере устаревания записей в arp-таблице. Комп, прежде чем послать пакет на другой комп, сначала пытается узнать mac адрес, куда слать. Поэтому сначала рассылает широковещательный arp запрос "who has". И только после внятного ответа начинает слать пакеты на этот mac адрес. И у себя прописывает во временную arp-таблицу. А если ответа нет, то и пакеты с данными никуда не шлются. Возможна такая ситуация, что комп-получатель выключился или просто тупо молчит и не посылает пакетов в сеть. И у свича его mac адрес может уйти, как устаревший. А на компе-источнике mac адрес компа-получателя ещё хранится. И он вдруг решил послать пакет второму компу. Т.к. mac адрес известен, он сразу тупо шлет пакет, а у свичей нет в таблицах mac адреса получателя. Поэтому они рассылают пакет на все порты. И этот пакет виден сниффером. А от сервера пакеты чаще видны изза того, что на сервере под *nix arp-таблица дольше не устаревает. И часто на сервере используется жесткая привязка ip к mac адресам. Тогда сервер вообще не рассылает arp-запросов "who has", а сразу шлет пакет. Естественно, пакет виден снифферами всея сети. А если комп-получатель оффлайн, то сервер продолжает посылать пакеты, которые снова будут лететь на всю сеть и ловиться снифферами. Если пакетов "на всю сеть" много, то возможен самый классический вариант - свичи с переполненной arp-таблицей. Кто-то из клиентов отсылает кучу пакетов от поддельных mac адресов. Или на сервере многовато жестких привязок mac+ip с публикацией mac адресов. В ноябре-декабре у себя боролись с сетью и выяснили, что увеличению пакетов "на всю сеть" так же способствуют глючащие свичи. Глючить может всего один свич, а проблем создавать кучу. Кроме того, если без всякого шейпинга скорость у какого-то клиента не превышает несколько КБ/с - может глючить какой-то свич. Или весь свич или один порт (а на остальных портах все может быть ОК). Ссылка на сообщение Поделиться на других сайтах
wermer 28 Опубліковано: 2008-02-03 09:18:31 Share Опубліковано: 2008-02-03 09:18:31 Может флудит или порт в каком либо свиче или сетевушка одного из клиентов.Причем флуд может быть кратковременным.Приходишь на такой свитч, выдергиваешь из него коннектор, а порт продолжает гореть, вроде как и клиент не выключался.Причем может флудить не постоянно.Такую плавающую неисправность найти крайне тяжело.Делить сеть на сегменты.Управляемый функцией Storm Control, только введет в заблуждение, в какой ветке идет флуд.Эту функцию, при поисках выключить. Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2008-02-03 09:19:31 Share Опубліковано: 2008-02-03 09:19:31 странно что оно вообще идет через маршрутизатор потому что фтп и абонент сидят в одной подсети. в одной то они в одной, но выбирается почему-то именно с левым адресом. Убрать один из адресов нельзя потому что линки с которых качают прописаны на 10.10.10.14(больше абонентов за натом сидит) попробуй поставить вторую сетевушку и уйти от алиасов. ещё не понятно почему маршрут такой глупый: а вот тут не понял. это трассировка? откуда и куда? XoRe, все верно пишешь, тут вопрос в том сколько траффика видно. если Den_LocalNet заметил этот траффик по загрузке портов то это явно больше чем 500 пакетов раз в несколько минут :-) я так думаю. Ссылка на сообщение Поделиться на других сайтах
J.McKey 0 Опубліковано: 2008-02-03 10:00:28 Share Опубліковано: 2008-02-03 10:00:28 Свич работают как - если пришел пакет на неизвестный mac адрес, он его (пакет) посылает на все порты. А когда приходит ответ и свич знает, на каком порту этот mac-адрес, остальные пакеты он посылает уже на нужный порт. правильная мысль ... auto-learning называется фича. ногами не пинайте, мне кажется от сего крокодила так просто не избавишся... единственное что приходит в голову - авторизация абонента по маку (типа через радиус). тогда можно автообучение на свитче удушить. хотя не уверен что тплинк это поддерживает... вот мрак... топикстартеру, пни jon'a на предмет, подумаем че нить Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас