LINUX.ORG.RU
ФорумAdmin

Поясните лог tcpdump'a


0

0

Чтот не могу понять как такое может быть .. есть 2 интерфейса на серваке, слушаю тот которые в сторону провайдера смотрит.

Адреса пока заменил, но суть в том, что ни в адресе отправителя, ни в адресе получателя моего IP нет.

15:39:15.025279 IP (tos 0x0, ttl 60, id 53134, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 61320:62xx0(1460) ack 1 win 33580
15:39:15.041950 IP (tos 0x0, ttl 60, id 53135, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 62xx0:64240(1460) ack 1 win 33580
15:39:15.058638 IP (tos 0x0, ttl 60, id 53157, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 64240:65700(1460) ack 1 win 33580
15:39:15.075308 IP (tos 0x0, ttl 60, id 53307, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 65700:67160(1460) ack 1 win 33580
15:39:15.0919xx IP (tos 0x0, ttl 60, id 53308, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 67160:68620(1460) ack 1 win 33580
15:39:15.108695 IP (tos 0x0, ttl 60, id 53394, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 68620:70080(1460) ack 1 win 33580
15:39:15.125330 IP (tos 0x0, ttl 60, id 53395, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 70080:71540(1460) ack 1 win 33580
15:39:15.143985 IP (tos 0x0, ttl 60, id 55592, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 71540:73000(1460) ack 1 win 33580
15:39:15.160668 IP (tos 0x0, ttl 60, id 55593, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 73000:74460(1460) ack 1 win 33580
15:39:15.177340 IP (tos 0x0, ttl 60, id 55595, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 74460:75920(1460) ack 1 win 33580
15:39:15.194016 IP (tos 0x0, ttl 60, id 55597, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 75920:77380(1460) ack 1 win 33580
15:39:15.210668 IP (tos 0x0, ttl 60, id 55808, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 77380:xx840(1460) ack 1 win 33580
15:39:15.227337 IP (tos 0x0, ttl 60, id 55905, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . xx840:80300(1460) ack 1 win 33580


> Адреса пока заменил, но суть в том, что ни в адресе отправителя, ни в адресе получателя моего IP нет.

Форвардинг? Или вообще левые пакеты ловишь (через глупый хаб прилетают)?

Deleted
()

А не на хабах ли твоя сеть построена со стороны провайдера =)))

k4m454k
()

tcpdump включает промишос режим. То есть, ловит ВСЕ видимые сетевой карте пакеты, а не только свои.

У тебя хаб вместо свитча чтоли ? Или это шлюз ?

ovax ★★★
()
Ответ на: комментарий от af5

Вы что какие хабы :) свитчи там, причем умные ...

со стороны сервака форвардинг открыт строго на адреса своей сети .. остальные в DROP ...

Есть предположение что это целенаправленный DOS (канал ADSL 512 падает почти моментально :))... просто интересно как можно ТАК послать пакет. Ставят сервак в шлюз и валят пакетами чтоли ....

> Его там нет потому что у вас на этом интерфейсе NAT

Я про IP сервака, он должен светиться там как получатель или отправитель ...

У меня вот догадка есть, правда проверить негде, не так ли случаем ведет себя тунель открытый со стороны юзера моей подсетки...

time
() автор топика
Ответ на: комментарий от time

Однозначный глюк со стороны прова: не должен он передавать в вашу сторону то, что предназначено не вам.

spirit ★★★★★
()
Ответ на: комментарий от spirit

да, правда. тогда что выходит, если я правильно понял автор пингует провайдера с сервера но tcpdump не регистрирует этот трафик?

попробуйте пингануть провайдера и поставить фильтр на icmp, а потом посмотреть что имеете в src-dst

af5 ★★★★★
()
Ответ на: комментарий от af5

> да, правда. тогда что выходит, если я правильно понял автор пингует провайдера с сервера но tcpdump не регистрирует этот трафик?

Нет. свои пакеты я вижу... просто помимо моих на вх. интерфейсе присутствует огромное количество пакетов адресованные не понять кем и не понять кому.

Попробую уточнить у провайдера ... а то сомнения были, что я 1 так нестандартно думаю...

time
() автор топика
Ответ на: комментарий от time

видать хитрый пров решил сэкономить на рутерах и включил несколько клиентов в один броадкаст домен

af5 ★★★★★
()
Ответ на: комментарий от af5

Ну хаб, ну видишь соседей, ну что с того? Иногда даже полезно, когда инет пропал, запустил tcpdump и смотришь - один ли ты в этом мире такой несчастный.

lvi ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.