> am reusit cu o masina infipta direct intr-un switch catalyst sa sniffuiesc
> linistit pachete de prin reteea. Acum eu nu ma pricep la subj., dar parca e
> imposibil de sniffuit daca esti pus intr-un switch
In afara de situatia in care te-ai legat special pe un port mirror :-)
nu prea ai ce sniffui la un switch.
Singura chestie pe care o poti vedea sunt pachetele broadcast.
Da un "tcpdump -e" si o sa vezi destinatia MAC a pachetelor pe care le
sniffui tu. In afara de cele pentru masina ta, o sa mai vezi pachete
catre ff:ff:ff:ff:ff:ff. In plus, s-ar putea sa mai vezi pachete care
au adresa MAC destinatie la stilul 01:xx:xx:xx:xx:xx si care sunt tot
broadcast (cisco discovery protocol, novell-nu-mai-stiu-ce-anume, IP
multicast, etc).
FYI, bitul 0 (LSb) din primul octet al adresei MAC spune daca adresa e
unicast sau broadcast/multicast. Bitul 1 spune daca formatul adresei
este IEEE (adica facut din ID-ul producatorului + ID-ul unic al
placii) sau "locally administered". De exemplu, mi se pare ca DECNET
foloseste adrese cu bitul 1 setat. Tot ca FYI, pe sarma bitii se
trimit in ordine inversa, adica LSb primul.
Motivul pentru care auzi pachetele broadcast, chiar cand esti legat in
switch, ar trebui sa fie destul de evident ;-)
Matei
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
