В Срд, 27/08/2008 в 15:29 +0300, Покотиленко Костик пишет: > Есть физически один большой свичёванный ethernet сегмент сети. В одной > его части используются адреса 10.0.0.0/16 (админ я) в другой > 192.168.100.0/24 (другой админ). > > В один прекрасный момент я начинаю намечать тормоза в работе сети, > поснифев немного в своём сегменте (на машине из 10.0.0.73) вижу: > > 192.168.100.42:xxxx -> 192.168.100.1:445 > 192.168.100.1:445 -> 192.168.100.42:xxxx > > подобный траф прёт как броадкаст, по всем свичам. Подумал было на > arp-spoof, палчаса снифа arp-spoof не обнаружил. К тому же arpwatch > заорал бы по почте. Но у arpspoof в логах вот это: > > arpwatch: ethernet mismatch 192.168.100.1 2:1:c0:a8:64:1 > (2:bf:c0:a8:64:1) eth0 > > Пробую дальше: > > # ping 192.168.100.1 & > # while true; do arp -d 192.168.100.1; sleep 1; done > > в это время на другой консоле tcpdump выдаёт: > > 15:07:42.943396 02:01:c0:a8:64:01 > 00:50:da:cc:39:fd, ethertype ARP > (0x0806), length 60: arp reply 192.168.100.1 is-at 02:bf:c0:a8:64:01 > 15:07:43.380350 02:01:c0:a8:64:01 > ff:ff:ff:ff:ff:ff, ethertype Unknown > (0x886f), length 82: > 0x0000: c001 dec0 0402 0000 0100 0000 c0a8 > 6401 ..............d. > 0x0010: 0000 0000 0106 0000 0000 0000 7300 > 6500 ............s.e. > 0x0020: 7200 7600 6500 7200 3100 2e00 6500 7800 > r.v.e.r.1...e.x. > 0x0030: 7000 6f00 2e00 6c00 6100 6e00 0000 0000 > p.o...l.a.n..... > 0x0040: 0000 0000 > > Вопросы: > > 1. Нормально ли это и что это за техника когда арп ответ приходит с > адреса отличного от того про который ответ? > > 2. Как я уже нагуглил 02:01:xx:xx:xx:xx это зарезервированный адрес для > MS-NLB-PhysServer-01, но что это такое не нашёл. Что это? > > 3. Как это всё может быть связанно с тем что свичи превратились в хабы > для этих адресов?
Добавлю: 1. MS-NLB - это вроде Microsoft Network Load Ballancer. 2. Тот админ признался, что включил эту штуку. Когда её выключили всё стало нормально. Плюс ещё у него сменился мак после выключения MS-NLB. 3. Единственное объяснение которое я вижу: поскольку весь траф от 192.168.100.1 (и других) шёл с *другого* мака, свичи запомнили его на порту и не запомнили нормальный мак. И судя по всему, когда свич не знает в какой порт пихать пакет (нет мака в памяти) он пихает его во все порты. Если кто может прокомментировать - буду рад. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
