dziwne pakiety
in [Linux Networking]
|
Prev: ipsec rouing problem
Next: Which ICMP reject works best
From: Jim on 1 Jan 2007 13:13 Witam szanownych grupowicz�w! Mo�e to b�dzie troszk� przyd�ugawe ... ale prosz� o wyrozumia�o�� :) Do tej pory mia�em w switchu 3com 4250T oko�o 35 komp�w w LAN. Switch niemal w konfiguracji fabrycznej (bez VLAn�w itp...). Wszystko chodzi�o jak w zegarku przez ponad rok. A� tu pewnego dnia wszystko przesta�o. 3Comik zg�upia�: �adne pingi w LANie nie id� (tak jak by woog�le nie prze��cza�). Do panelu konfiguracyjnego switcha przez IP nie idzie wej��. Ale switch sobie mruga w najlepsze, tak jak by wszystko pracowa�o normalnie.... Co ciekawsze, diody sygnalizacyjne na kartach sieciowych PCet�w mrugaj� jak szalone (sprawdzi�em kilka PC). Tcpdump pokaza� takie co�: 10:52:28.671348 00:00:00:00:00:00 > 01:80:c2:00:00:01, ethertype Unknown (0x8808), length 60: 0x0000: 0001 001f 0000 0000 0000 0000 0000 0000................ 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000................ 0x0020: 0000 0000 0000 0000 0000 0000 0000 .............. Mac 01:80:c2:00:00:01 co najmniej dziwny i nie jest �adnym makiem wyst�puj�cym w mojej sieci. Po resecie switcha i za�adowaniu ustawie� fabrycznych - bez zmian. Od��czy�em kompy na inne switche - tak, �e w ca�ym diagnozowanym prze��czniku by� tylko jeden kabelek krosowy ��cz�cy go z innym prze��cznikiem. Dalej to samo. Nieustaj�cy flood. Wyjmuj� tego ostatniego krosa - wszystko dzia�a. Wk�adam krosa znowu flood. My�la�em, �e mo�e jaka� karta sieciowa uszkodzona w jednym z PC - no ale jak wszystkie wypi��em z prze��cznika (zosta� w nim tylko jeden kabelek j.w.), a objawy nie ust�pi�y, to chyba karta sieciowa odpada? Kolejna my�l prze��cznik: ale jak go od��cz� i postawi� np. na nim dwa PC to wszystko jest OK. Pogoogla�em na temat (0x8808) i wyczyta�em, �e mog� to by� pakiety "flow control" - ale jak si� to ma do moich objaw�w???? Trojan??? Ale je�eli tak, to czemu switch: flooduje wiele komputer�w??? nie wpuszcza do panelu konfiguracyjnego?? nie odpowiada na pingi na swoim IP?? No chyba ze trojan atakowa� akurat prze��cznik - jest to mo�liwe? jak to stwierdzi�?? No i teraz zg�upia�em..... Prosz� o sugesti� co to mo�e by�, gdzie szuka� :) Pozdrawiam Jim Dy�urny Lama :) PS Wszystkiego najlepszego w nowym roku!
From: Jim on 1 Jan 2007 13:20 Error :) Sorry, this msg should be send to pl.comp.os.linux. Jim Jim napisa�(a): > Witam szanownych grupowicz�w! > > Mo�e to b�dzie troszk� przyd�ugawe ... ale prosz� o wyrozumia�o�� :) > > Do tej pory mia�em w switchu 3com 4250T oko�o 35 komp�w w LAN. > Switch niemal w konfiguracji fabrycznej (bez VLAn�w itp...). > Wszystko chodzi�o jak w zegarku przez ponad rok. > > A� tu pewnego dnia wszystko przesta�o. 3Comik zg�upia�: �adne pingi w > LANie nie id� (tak jak by woog�le nie prze��cza�). Do panelu > konfiguracyjnego switcha przez IP nie idzie wej��. Ale switch sobie > mruga w najlepsze, tak jak by wszystko pracowa�o normalnie.... > Co ciekawsze, diody sygnalizacyjne na kartach sieciowych PCet�w mrugaj� > jak szalone (sprawdzi�em kilka PC). > > Tcpdump pokaza� takie co�: > 10:52:28.671348 00:00:00:00:00:00 > 01:80:c2:00:00:01, ethertype Unknown > (0x8808), length 60: > 0x0000: 0001 001f 0000 0000 0000 0000 0000 0000................ > 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000................ > 0x0020: 0000 0000 0000 0000 0000 0000 0000 .............. > > Mac 01:80:c2:00:00:01 co najmniej dziwny i nie jest �adnym makiem > wyst�puj�cym w mojej sieci. > > Po resecie switcha i za�adowaniu ustawie� fabrycznych - bez zmian. > > Od��czy�em kompy na inne switche - tak, �e w ca�ym diagnozowanym > prze��czniku by� tylko jeden kabelek krosowy ��cz�cy go z innym > prze��cznikiem. > Dalej to samo. Nieustaj�cy flood. > Wyjmuj� tego ostatniego krosa - wszystko dzia�a. > Wk�adam krosa znowu flood. > > My�la�em, �e mo�e jaka� karta sieciowa uszkodzona w jednym z PC - no ale > jak wszystkie wypi��em z prze��cznika (zosta� w nim tylko jeden kabelek > j.w.), a objawy nie ust�pi�y, to chyba karta sieciowa odpada? > > Kolejna my�l prze��cznik: ale jak go od��cz� i postawi� np. na nim dwa > PC to wszystko jest OK. > > Pogoogla�em na temat (0x8808) i wyczyta�em, �e mog� to by� pakiety "flow > control" - ale jak si� to ma do moich objaw�w???? > > Trojan??? Ale je�eli tak, to czemu switch: > flooduje wiele komputer�w??? > nie wpuszcza do panelu konfiguracyjnego?? > nie odpowiada na pingi na swoim IP?? > No chyba ze trojan atakowa� akurat prze��cznik - jest to mo�liwe? jak > to stwierdzi�?? > > No i teraz zg�upia�em..... > > Prosz� o sugesti� co to mo�e by�, gdzie szuka� :) > > Pozdrawiam > > Jim > Dy�urny Lama :) > > PS > Wszystkiego najlepszego w nowym roku! >
From: Moe Trin on 2 Jan 2007 14:55 On Mon, 01 Jan 2007, in the Usenet newsgroup comp.os.linux.networking, in article <enbjcu$7i$2(a)news.wp.pl>, Jim wrote: >Error :) >Sorry, this msg should be send to pl.comp.os.linux. I can't read/understand Polish, but three things jump out at me: >> Do tej pory mia�em w switchu 3com 4250T oko�o 35 komp�w w LAN. >> Switch 3Com 4250T switch >> Tcpdump pokaza� takie co�: >> 10:52:28.671348 00:00:00:00:00:00 > 01:80:c2:00:00:01, ethertype Unknown >> (0x8808), length 60: [compton ~]$ etherwhois 01:80:c2 Non-existent address as of Dec 18 17:25:59 MST 2006 OUI file http://standards.ieee.org/regauth/oui/oui.txt 0180C2000000 Spanning Tree (BPDU) (see keywords Spanning Tree) [compton ~]$ zgrep 880[0-f] rfcs/ethernet-numbers.gz 880B PPP [IANA] [compton ~]$ Spanning Tree http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/\ sw_ntman/cwsimain/cwsi2/cwsiug2/vlan2/stpapp.htm "Understanding Spanning-Tree Protocol: Spanning-Tree Protocol is a link management protocol that provides path redundancy while preventing undesirable loops in the network. For an Ethernet network to function properly, only one active path can exist between two stations..." Perhaps that may be related? You may want to wander over to the Usenet newsgroup comp.protocols.tcp-ip, and perhaps comp.dcom.lans.ethernet. Old guy
|
Pages: 1 Prev: ipsec rouing problem Next: Which ICMP reject works best |