Непонятные пакеты регулярно выдаёт tcpdump

Zorn · 30.03.2006, 14:46

Народец, такой вопрос.
Есть гейт на FreeBSD 5.4, tcpdump на внутреннем интерфейсе (который в лок сеть смотрит) выдаёт довольно часто вот такую батву
13:20:48.419364 48:9c:fe:23:39:17 > 01:80:c2:00:00:01, ethertype Unknown (0x8808), length 60:
0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0020: 0001 0000 0000 8808 0001 0000 0000 ..............

в таблице arp -a таких маков нет.
Подскажите плиз у свичей обычных, не управляемых есть маки? И как их посмотреть?

KCyod16 · 18.04.2006, 15:11

гм....если я не ошибаюсь ,то можно по мак адрессу(первым 6 байтам ) определить фирму производитель устройства ,определив фирму производителя я думаю ты и само устройство найдешь.

Zorn · 27.04.2006, 11:39

хм, а как 8)

Xaionaro · 01.04.2007, 13:25

Цитата (Zorn) »

Народец, такой вопрос.
Есть гейт на FreeBSD 5.4, tcpdump на внутреннем интерфейсе (который в лок сеть смотрит) выдаёт довольно часто вот такую батву
13:20:48.419364 48:9c:fe:23:39:17 > 01:80:c2:00:00:01, ethertype Unknown (0x8808), length 60:
0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0020: 0001 0000 0000 8808 0001 0000 0000 ..............
Думаю
в таблице arp -a таких маков нет.

Во-первых: Один из этих маков должен быть виден не в arp -a, а в ifconfig

. Посмотри какой из этих маков твой, если отсылающий ты, то думаю понятно что рыть надо на локальной компе

.
Во-вторых: В arp-a хранятся ассоциации ip<->mac, AFAIK. А данный пакет не являлся tcp/udp пакетом, потому к arp он не имеет никакого отношения, AFAIK.
В-третих: Исходя из "Во-первых", зная МАК "собеседника", у тебя есть возможность втупую обходить всех потенциальных "собеседников" и спомощью "ifconfig/ipconfig" узнать их МАКи и сравнить с данным. А лучше конечно поставить нормальный управляемый свитч и сразу узнасть где сидить "соебседник"

Цитата (Zorn) »

Подскажите плиз у свичей обычных, не управляемых есть маки? И как их посмотреть?

Если свитч неуправляемый, то мак ему не нужен (и я не видел ниразу чтобы у неуправляемого свитча был мак). Мак нужен только чтобы быть одним из "юнитов" сети. Чтобы можно было отсылать свой трафик или получать именно в свой адрес. Если свитч не имеет интерфейса для управления, не имеет никаких там dhcpd и т.п., то зачем ему мак?

oprichnik · 31.07.2008, 20:15

Это 802.3x Flow Control - управление потоком на канальном уровне.
01-80-C2-00-00-01 это Multicast адрес, распознается устройствами которые поддерживаютданную технологию.
По этому mac адресу нельзя определить производителя и в arp таблице такого мака не будет

.
Скорее всего какой-то коммутатор перегружен и просит чтобы хосты из локалки приостановили передачу данных.
Сетевые адаптеры, которые поддерживают данную технологию приостановят передачу следующего пакета на
время которое определяется следующими двумя байтами после 0001 0000 0000 8808 0001 0000 0000 8808.

30.03.2006, 14:46	Вверх #1
Zorn Бывалый Автор темы Регистрация: 10.07.2003 Адрес: СПб	Непонятные пакеты регулярно выдаёт tcpdump Народец, такой вопрос. Есть гейт на FreeBSD 5.4, tcpdump на внутреннем интерфейсе (который в лок сеть смотрит) выдаёт довольно часто вот такую батву 13:20:48.419364 48:9c:fe:23:39:17 > 01:80:c2:00:00:01, ethertype Unknown (0x8808), length 60: 0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................ 0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................ 0x0020: 0001 0000 0000 8808 0001 0000 0000 .............. в таблице arp -a таких маков нет. Подскажите плиз у свичей обычных, не управляемых есть маки? И как их посмотреть? __________________ Я решил жить вечно....пока всё идёт хорошо... Последний раз редактировалось Zorn; 30.03.2006 в 14:49.

27.04.2006, 11:39	Вверх #3
Zorn Бывалый Автор темы Регистрация: 10.07.2003 Адрес: СПб	хм, а как 8) __________________ Я решил жить вечно....пока всё идёт хорошо...

01.04.2007, 13:25	Вверх #4
Xaionaro Бывалый Регистрация: 09.07.2003 Адрес: Москва	Цитата (Zorn) » Народец, такой вопрос. Есть гейт на FreeBSD 5.4, tcpdump на внутреннем интерфейсе (который в лок сеть смотрит) выдаёт довольно часто вот такую батву 13:20:48.419364 48:9c:fe:23:39:17 > 01:80:c2:00:00:01, ethertype Unknown (0x8808), length 60: 0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................ 0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................ 0x0020: 0001 0000 0000 8808 0001 0000 0000 .............. Думаю в таблице arp -a таких маков нет. Во-первых: Один из этих маков должен быть виден не в arp -a, а в ifconfig . Посмотри какой из этих маков твой, если отсылающий ты, то думаю понятно что рыть надо на локальной компе . Во-вторых: В arp-a хранятся ассоциации ip<->mac, AFAIK. А данный пакет не являлся tcp/udp пакетом, потому к arp он не имеет никакого отношения, AFAIK. В-третих: Исходя из "Во-первых", зная МАК "собеседника", у тебя есть возможность втупую обходить всех потенциальных "собеседников" и спомощью "ifconfig/ipconfig" узнать их МАКи и сравнить с данным. А лучше конечно поставить нормальный управляемый свитч и сразу узнасть где сидить "соебседник" Цитата (Zorn) » Подскажите плиз у свичей обычных, не управляемых есть маки? И как их посмотреть? Если свитч неуправляемый, то мак ему не нужен (и я не видел ниразу чтобы у неуправляемого свитча был мак). Мак нужен только чтобы быть одним из "юнитов" сети. Чтобы можно было отсылать свой трафик или получать именно в свой адрес. Если свитч не имеет интерфейса для управления, не имеет никаких там dhcpd и т.п., то зачем ему мак? __________________ Ingenio stat sine morte decus...

18.04.2006, 15:11	Вверх #2
KCyod16 Начинающий Регистрация: 19.01.2005	гм....если я не ошибаюсь ,то можно по мак адрессу(первым 6 байтам ) определить фирму производитель устройства ,определив фирму производителя я думаю ты и само устройство найдешь.

31.07.2008, 20:15	Вверх #5
oprichnik Новенький Регистрация: 31.07.2008	Это 802.3x Flow Control - управление потоком на канальном уровне. 01-80-C2-00-00-01 это Multicast адрес, распознается устройствами которые поддерживаютданную технологию. По этому mac адресу нельзя определить производителя и в arp таблице такого мака не будет . Скорее всего какой-то коммутатор перегружен и просит чтобы хосты из локалки приостановили передачу данных. Сетевые адаптеры, которые поддерживают данную технологию приостановят передачу следующего пакета на время которое определяется следующими двумя байтами после 0001 0000 0000 8808 0001 0000 0000 8808.