Jump to content
Калькуляторы

tcpdump сервер видит пакеты которые не предназначены ему.

При запуске tcpdump -n -i eth1 видим следубщее

14:39:12.190207 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 322997518:322997527(9) ack 3480689246 win 46 <nop,nop,timestamp 763426561 763913476>

14:39:12.191584 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 1520:1969(449) ack 177 win 46 <nop,nop,timestamp 763426561 763913477>

14:39:12.191590 IP 10.0.101.3.3306 > 10.0.101.2.54621: . 72:1520(1448) ack 177 win 46 <nop,nop,timestamp 763426561 763913477>

14:39:12.193396 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 1969:2074(105) ack 316 win 54 <nop,nop,timestamp 763426562 763913477>

 

13:04:52.110591 IP 10.0.101.3.3306 > 10.0.101.2.40092: P 602:613(11) ack 440 win 46 <nop,nop,timestamp 632413613 632899796>

13:04:52.111067 IP 95.86.135.2.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=active group=1 addr=95.86.135.1

13:04:52.116532 IP 95.86.135.3.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=standby group=1 addr=95.86.135.1

13:04:52.127060 IP 95.86.135.2.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=active group=1 addr=95.86.135.1

 

то что связано с HSRP мы знаем что это наши роутеры общаются между собой, соединения mysql тоже понятны, но почему они отображатся на сервере который хоть и находится в том же свитче , но не какого отношения к этим пакетам не имеет.

Такое происходит обсалютно со всеми серверами в нашей сетке , как с внутренних так и с внешних интерфейсов. Все сервера HP (g6,g7).

Share this post


Link to post
Share on other sites

свитч наверное d-link , нет?

Share this post


Link to post
Share on other sites

По поводу мультикаста всё правильно. пришёл фрейм на 224.0.0.2, что по-вашему свитч должен с ним сделать? ну да, можно пофантазировать на предмет igmp snooping, но:

In general, addresses from 224.0.0.1 to 224.0.0.255 are reserved and used by various protocols (standard or proprietary, such as Hot Standby Router Protocol (HSRP)). Cisco recommends that you not use these for GDA in a multicast network. CGMP and IGMP snooping do not work with this reserved address range.

 

http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a00800b0871.shtml

 

По поводу лишнего юникаста - смотрите мак-адреса этих фреймов(опция -e в tcpdump) и есть ли они в таблице коммутации свитча. Если нет, то фреймы будут размножаться по причине неизестного dst mac

Share this post


Link to post
Share on other sites

С одним сервером (сборщик netflow) возникала такая проблема, вроде было связано с ARP. В качестве быстрого решения помог пинг шлюза в кроне, так и осталось оно.

Share this post


Link to post
Share on other sites

Часто такая проблема появляется по причине того, что время жизни arp дольше (например на циске, вроде, 4 часа по дефолту), чем в таблицах комутации свитчей (5 минут типично).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this