Le 23/07/2015 10:42, Clement Cavadore a écrit :
5) comment remonter et identifier la source du pb, probablement un
PC/portable mal configuré infecté et qui se crois sur une livebox ou
autre subnet home office !?
Essaye de choper l'adresse MAC via ton port mirroring, et remonte le
réseau L2 jusqu'à trouver le port de switch auquel cette MAC est
rattachée ?
Merci pour vos réponses
je comprend mieux maintenant comment ce trafic peut-etre etre routé
malgres mes efforts pour le dropper !
apres avoir remonté la source jusqu'a mon coeur de reseau (6500) grace
au port miroring sur ASR (SPAN) cf
http://www.cisco.com/c/en/us/support/docs/routers/asr-1000-series-aggregation-services-routers/116212-configure-asr-00.html
nouveau port miroring sur 6500 , cf
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html#anc45
j'ai du encore luter avec tcpdump car l'interface en question est un
trunk et il a fallu jouer avec la prise en charge des vlan dans le filtre:
# tcpdump -nnv -e "udp or (vlan and (udp or tcp) and src net
192.168.0.0/22)" -i em2 -w capture-g2-21-6509-2015-07-23-17H00-192.168.cap
# tcpdump -nnve -r capture-g2-21-6509-2015-07-23-17H00-192.168.cap
j'ai capturé donc ce genre de trame
17:17:12.612962 *10:bd:18:e4:80:80* > 00:07:7d:33:9f:00, ethertype
802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl
116, id 11394, offset 0, flags [DF], proto TCP (6), length 48)
*192.168.1.101*.3751 > 104.37.247.30.80: Flags [S], cksum 0x3f63
(correct), seq 2737270860, win 65535, options [mss 1460,nop,nop,sackOK],
length 0
où j'ai enfin un match entre l'adresse IP et une @MAC .
=> j'esperais trouver ça bcp plus facilement avec un
6509E#show arp | incl 192.168.1.101
mais curieusement, cela ne donne jamais rien ,
meme #show mac address-table | incl 10:bd:18:e4:80:80 ne donne rien !?
heureusement qu'il y a tcpdump a coté des équipements cisco ...
Maintenant , il faut que je poursuive vers l'interface source de cette
MAC , évidement c'est un downlink qui sort de mon LAN , derrière lequel
je pas la main, je vais poursuivre avec l’enquête avec les admins de
cette interco .
Je reste quand meme surpris qu'un flood de paquets arrive a mettre a
genoux un ASR1002 :-( !
on vois sur le graph en nombre de paquets ci-dessous les 2 periodes
"blanches" ou mon routeur ne repondais quasiment plus (en tout cas au
moins plus au requetes snmp sources de ce graph)
ASR1002 - Unicast Packets - Gi0/0/2
Merci pour vos conseils .
jehan .
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
