Аццкий гей-парад в Москве 16.05.09

[dil]

https://www.youtube.com/watch?v=WqVv2S8e6AU&has_verified=1

via dinozavr

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Comments

[kritik-at-work.livejournal.com]

баг в прошивке, забытая команда зеркалирования трафика на коммутаторе
статическая привязка мака к порту коммутатора
а мак в сети вообще существует?

[schors.livejournal.com]

Сеть топят. Затопление сети происходит если у коммутатора нет информации куда послать пакет.

Пример клиники.
Есть такая штука как Microsoft Load Balanser. Он IP вешает на две разных машины. Причём, отвечает от имени виртуального MAC. Соответственно, в коммутатор НИКОГДА не приходит пакета, у которого обратный MAC будет тем, что ответил ARP. Соответственно, в таблице коммутатора никогда не появляется соответствия и он просто "топит" по всем портам согласно собственно спецификации.

[schors.livejournal.com]

Соответсвенно, кривые ответы, перезагрузка таблицы. А, кстати, ещё бывает очень мало памяти для MAC-таблицы в коммутаторе и он постоянно её сбрасывает. Соответственно, порты опять "затапливает".

[schors.livejournal.com]

http://strict.spb.ru/cisco/bp-c6500.html#pre4
пруфлинк. выдрано, но зато по делу и кратенько

[dil.livejournal.com]

так вот проблема в том, что трафик ко мне попадает не весь, а очень отдельные пакеты. значит, не зеркалирование.

вот три SMB-пакета на 445 порт пролетели от одного источника одному получателю: NTLMSSP_NEGOTIATE, затем NTLMSSP_AUTH, и TREE_CONNECT к C$.
Ответов я не вижу, но раз сессия развивалась, то они, очевидно были. Значит, реальный получатель тоже эти пакеты получил, и гипотеза о статической привязке мака к порту отпадает.

Мак существует, на arping отзывается.

[dil.livejournal.com]

у меня явно другой случай. мак существует. вот с переполнением таблицы - это вариант..

[kiltum.livejournal.com]

Про коммутатор скажи.

У некоторых есть такая опция - если им плохо и они не успевают разроутить пакеты, они в режим хаба переходят. У тебя не такое?

[schors.livejournal.com]

MAC может и существует. А он реально в реальных ответах себя подставляет? И не срёт ли он в несколько портом своим MAC? Тогда тоже таблица от него избавляется. Ты понял идею, да? MAC записывается в таблицу ТОЛЬКО когда сквозь коммутатор проходит пакет Ethernet с таким вот MAC в обратном адресе заголовка. Что там ARP отвечает коммутатор не волнует.

[schors.livejournal.com]

Ну да, экспирится или переполняется действительно.

[dil.livejournal.com]

я, честно говоря, даже не знаю, чтО там за коммутатор. скорее всего, циска какая-то.
вообще, похоже, что это именно из-за переполнения таблиц он начинает пакеты иногда совать во все порты сразу.но достаточно редко

[schors.livejournal.com]

Мля, я хостер. Я не должен всей этой бодяги знать. Я не хочу её знать :) Изыди нечистый :)

[dil.livejournal.com]

мак у меня в арп-таблице появился, значит с него что-то точно отвечается.
а вот куда он срёт - я не знаю, для этого надо иметь доступ к коммутатору. но уж точно не из моего порта :)

[dil.livejournal.com]

так и я не сетевой администратор :)

[schors.livejournal.com]

> мак у меня в арп-таблице появился, значит с него что-то точно отвечается.

Нет. Это значит только то, что кто-то у себя ответил
IP-такой-то - это MAC такой-то.

[dil.livejournal.com]

я ещё вижу ответы на обычные пинги, приходящие с того же мака. это достаточный повод считать, что он существует?

[pe3yc.livejournal.com]

Предполагаю, что flood и overflow. Но вообще-то хз, тут конкретный случай надо рассматривать.

[dil.livejournal.com]

угу, и желательно из самогО коммутатора

[nikulina.livejournal.com]

>сеть коммутируемая

а ты твердо уверен? вдруг таки кое-где нет?

[dmarck.livejournal.com]

Их мало? Unknown unicasts?

[tejblum.livejournal.com]

Если циска, и там не выключен CDP, можно много чего из этого самого CDP узнать.

Переполнение таблиц достаточно маловероятно, и выглядело бы это скорее всего несколько по другому, мне кажется. Могут быть, например, эффекты STP: если порт не сконфигурирован специальным образом (у циски это называется portfast), и этот порт включился или выключился, это считается "topology change" и вызывает сброс мак-таблицы во всем stp-домене. А может и какие другие глюки.

[dil.livejournal.com]

тогда бы я действительно постоянно видел весь чужой трафик. а я его вижу очень частично

[dil.livejournal.com]

их мало, но они вполне known. от реально существующих в сети машин, по вполне обычным протоколам - smb, http, ssh и прочая

[dil.livejournal.com]

ещё б я знал собственный адрес коммутатора..

[tejblum.livejournal.com]

Зачем адрес коммутатора? Для CDP? Так это надо просто минуту или две подождать в tcpdump'е (-s 0 -v not ip and not arp, например), и увидишь.

[dil.livejournal.com]

да, это я глупость сказал. тогда уж проще по dst mac 01:00:0c:cc:cc:cc ловить
SNAP виднеется.

Cisco IOS Software, C3750 Software (C3750-IPSERVICES-M), Version 12.2(25)SEE4, RELEASE SOFTWARE (fc1)
Platform (0x06), length: 19 bytes: 'cisco WS-C3750G-24T'
Capability (0x04), length: 4 bytes: (0x00000029): Router, L2 Switch, IGMP snooping
ну и там еще имя и IP-адрес

а чего из него еще можно интересного узнать?