Tu peux pas activer netflow sur ce bouzin ?
Le 29 juil. 2015 à 19:08, jehan procaccia INT <jehan.procac...@int-evry.fr> a écrit : > Le 28/07/2015 15:05, Dominique Rousseau a écrit : >> Le Tue, Jul 28, 2015 at 02:58:45PM +0200, jehan procaccia INT >> [jehan.procac...@int-evry.fr] a écrit: >>> c'est ce que je capture en faisant un port mirroring (session >>> monitor en termes cisco) sur l'interface que je suspectais >>> donc pas vraiment "apres" mon 6500 , mais plutôt dedans . >> Si c'est sur l'interface de sortie, vers ton ASR, c'est du "apres". > OK, c'est effectivement APRES, donc la MAC capturée doit correspondre a > l'adresse MAC de mon interface de sortie normalement, ici le Giga 2/21 (la > G2/16 etant la destination du port mirroring où se trouve mon PC/TCPDUMP) > > 6509E-B007#show monitor > Session 1 > --------- > Type : Local Session > Source Ports : > Both : Gi2/21 > Destination Ports : Gi2/16 > > 6509E-B007#show interface g 2/21 | include line | address > GigabitEthernet2/21 is up, line protocol is up (connected) > Hardware is C6k 1000Mb 802.3, address is 001f.6ca4.b194 (bia 001f.6ca4.b194) > > or, voici le rappel de type de capture du synflood : > > 11:56:50.943052 *10:bd:18:e4:80:80* > 00:07:7d:33:9f:00, ethertype 802.1Q > (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl 121, id > 13137, offset 0, flags [DF], proto TCP (6), length 48) > 192.168.1.101.4007 > 119.28.3.29.80: Flags [S], cksum 0x7576 (correct), seq > 2748456345, win 65535, options [mss 1460,nop,nop,sackOK], length 0 > > la mac 10:bd:18:e4:80:80 n'est pas celle de l'interface g 2/21 > (001f.6ca4.b194) mais celle de de la giga 2/22 (reseau downlink vers > "clients" ) > > 6509E-B007#show interfaces gigabitEthernet 2/22 > GigabitEthernet2/22 is up, line protocol is up (connected) > Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080* (bia > 10bd.18e4.8080) > > Helas, comme plein d'interfaces sur mon 6500 ont aussi la MAC *10bd.18e4.8080 > *je ne suis pas avancé pour identifier l'interface source du syn flood . > > Ceci s'explique apparement d'apres la judicieuse remarque de David Ponzone > > Le 28/07/2015 14:55, David Ponzone a écrit : > > C’est étrange en effet, mais lis ça, ca explique peut-être le truc: > > http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6000-series-switches/41263-catmac-41263.html > > effectivement à la lecture de cette doc il semble "normal" qu'il y a la meme > MAC sur +sieurs Interfaces et on ne peut pas y faire grand chose :-( > > "As a result, you cannot have a unique MAC address per interface. This is a > hardware limitation of the Supervisor Engine II and will not be fixed in a > future software release. " > > je suis en Sup2T , je ne sais pas si cette limitation Sup engine II > correspond ... mais je constate bien ce pb . > > Bref, il n'est vraiment pas évident de pister un flux sur ces équipements, il > faudrait presque pouvoir éteindre une a une les interfaces au moment du > flood, mais avec +128 interfaces et des flood sporadiques qui ne durent que > qq minutes, ce n'est vraiment pas facile . > >>> avec 2 cartes 48 ports 1G et 1 carte 16 * 10G cela ne va pas etre >>> facile de faire du port mirroring sur chaque port ! >> [...] >>> avez vous une idée pour identifier l'interface source de mon 6500 >>> qui génère ce trafic. >> Vu le nombre de ports que tu indiques, il y'en a où ton 6500 fait du >> switching, et d'autres où il route, je suppose. >> Si tu te limites aux ports qui font du routage, ça te donne quoi ? >> > Ils routent quasiment tous, j'ai un uplink vers l'ASR puis operateurs, et un > downlink vers un reseau "client", le reste c'est mon LAN de campus avec une > dizaine de batiments en Fibre et et une dizaine de switch directement > raccordés en 1G et 10G dans le datacenter qui font usage d'interfaces > switchport cuivre mais toutes ratachées a des interfaces vlan qui routent . > > plus théoriquement, je m'interroge toujours sur la source du flood ?! > > comment des paquets (forgés probablement) avec une src en 192.168.1.101 > peuvent t-il aboutir sur mon coeur de reseau alors que je n'ai pas de gateway > ni de route pour ce reseau 192.168.1.0/24 !? > peut-être qu'une réponse a cette question m'aiguillera sur une piste plus > prometteuse . > > Merci . > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/