初学SNIFFER,不敢确定自己的判断,请大家帮我分析下SNIFFER抓包文件

exec456

SNIFFER的部署肯定没问题,是用的上联到INTERNET的镜象端口,SNIFFER抓包文件见附件,谢谢!

oldjiang

1、看单播矩阵，部署正确。
2、协议视图，定位流量最大的UDP-OTHER，会话，按流量降序

这个机器在用迅雷下载，还有111、212机器
3、协议视图，有在线视频、BT

机器是192.168.190.207
4、参考你的另一个帖子http://www.csna.cn/forum.php?mod=viewthread&tid=9302，我估计00:0F:E2:30:7E:28是网关，那这个mac又是什么呢？

5、为何几乎所有的IP包，其源mac地址都是00:0F:E2:30:7E:28，超过半数目标mac地址是00:90:0B:01:75:11？请描述拓扑和部署位置。

[ 本帖最后由 oldjiang 于 2008-6-17 08:19 编辑 ]

exec456

拓扑图如下:那个MAC地址可能为无线路由器的MAC.

oldjiang

00:90:0B:01:75:11是firewall的mac？
00:0F:E2:30:7E:28更像是vlan的mac，划分有lan吗？
还是网速慢的问题？如果只是这个问题，那些P2P就是原因。

[ 本帖最后由 oldjiang 于 2008-6-17 12:58 编辑 ]

exec456

对,00:90:0B:01:75:11下有很多外网的IP地址,所以应该为FIREWALL的MAC,而00:0F:E2:30:7E:28下地址全是内网的MAC,所以应该是SVI的MAC,是这样判断吗?

exec456

再帮我看看192.168.190.218,192.168.190.88在做什么啊,那些UDP端口不熟悉,谢谢!

oldjiang

三层交换机我没有环境，看过一些资料，但是没有实践经验。
常见的拓扑，pc--（二层）交换机--路由器或防火墙做网关，镜像抓包，内网pc访问外网的包，源MAC是pc的mac，目标mac是网关的mac，网关的mac下有多个外网ip地址。
具体到你这个包，00:0F:E2:30:7E:28下内外网ip都很多。
先说内网的，逐个点击这些ip，看相应的数据包，源mac地址（几乎）都是00:0F:E2:30:7E:28。一个主机向外网主机发包，源mac是自己的mac，目标mac是路由器的mac，这个包经过路由器发生了什么变化？源mac变成了路由器的mac，目标mac变成了下一跳的mac，不过这点我未曾抓包证实。我据此推断00:0F:E2:30:7E:28是vlan interface即svi的mac，00:90:0B:01:75:11是firewall的mac。参考http://www.cisconet.cn/bbs/archiver/?tid-578.html。
再说外网的，也是逐个点击ip看数据包，不管外网ip是多少，源mac都是00:0F:E2:30:7E:28，目标mac则分别是内网各个主机。这点我还不是很理解，请楼主明示00:0F:E2:30:7E:28是什么的地址。
最后，楼主有这样好的环境，能否做个测试：增加一个镜像的源端口，使之可以俘获某个pc的包，在这个pc上网，因为有两个镜像的源端口，估计一个包（根据IP标志识别）会被俘获两次，比较两个包的mac地址，可知包是怎么走的，验证上面说的mac变化。
还有一点，00:0F:E2:30:7E:28下的ip，包的流向即箭头全是从左向右即ip是源ip，00:90:0B:01:75:11正好相反，为何都是单向的？这也是让我迷惑的地方。拓扑图中的mirroring-port是不是firewall接的交换机端口？这个端口是不是引用链接中说的“路由接口”即a Layer 3 (routed) port、a routed (L3) port而不是一个switchport？

[ 本帖最后由 oldjiang 于 2008-6-18 01:22 编辑 ]

oldjiang

在节点浏览器或者端点视图定位192.168.190.218
协议视图，udp-other的流量最大，包最多
会话视图，udp，跟很多外网ip有连接

矩阵，通许主机数也较多

icmp端口不可达

包146是对包72的应答

估计是在用迅雷，抓包的同时跑过去看看udp5243端口对应的进程便知。

乔小弟

写的不错！！！！！！

zero_10

好东西，正需要~~谢谢楼主啦~~~~~~~~~~~

zero_10

好东西，正需要~~谢谢楼主啦~~~~~~~~~~~

狐狸哀老鼠

，新来的，大家好呀，不知道应该在哪里报到，借这里祝大家发财呀，谢谢了！