3.2 问题一
捕获了17分钟的数据只有1.2M,经检查并未设置过滤器,于是我们把目标转向了端口镜像,在当天的交换机配置中检查镜像端口数据流量关键字为both(双向),并且设置了关键字no-filt(不过滤),监控端口为本机连接交换机的端口。假设是端口镜像问题,那只能捕获本机流量以及广播流量,但从数据的方向看来,我们捕获的并不是广播和自身流量!
问题二
端口镜像问题,在抓包过程中几次确认了交换机配置命令为双向镜像,如果是镜像端口配置错误,那么镜像端口所连接的又是那个网络?为什么有这么多的单向icmp报文?
问题三
为什么会有大量的外部地址向内部地址发送类型为3代码为3的icmp报文(目标不可达,端口不可达),以源为60.166.69.86解码发现,此报文中包含一个错误ip报头和udp段的头8字节(源目标端口号及长度校验和),告诉内部主机校验和错误。通过这个icmp报文,我们发现以源为10.76.56.175:15000(迅雷端口) 向 目标 60.166.69.86的三个固定端口(17111,28369,19610)发送udp报文
经判断,以源为10.76.56.175 在向目的主机发送udp报文,但是通过科来并未捕获到流量
问题四
在观察arp请求中,发现有双网关,00:E0:FC:4F:9A:E6—10.76.54.1 00:E0:FC:4F:9A:E6---10.76.56.1
被镜像的端口在10.76.54.0/24 10.76.56.0/24 10.76.19.0/24 的广播域里,网关对arp请求都有回应 |
发表于 2008-6-2 16:16:04