感觉不对劲，但又看不出来

ppp2 · 发表于 2009-2-11 17:07:19

感觉不对劲，但又看不出来

以前抓包都是有进流量，出流量，

现在怎么感觉只抓到半边的流量似的，

还有，某些IP只有外网进来的ICMP流量，

求助

[ 本帖最后由 ppp2 于 2009-2-11 17:33 编辑 ]

ppp2 · 发表于 2009-2-11 17:10:36

求助求助
求助求助
求助求助

icexplorer · 发表于 2009-2-11 18:52:13

楼主用的ARP欺骗方式抓的包么，如果不是，就可以确定内网存在ARP欺骗，主机见图

oldjiang · 发表于 2009-2-11 21:55:28

没看出来是用ARP欺骗抓包，节点浏览器，除了网关，其他mac下都是一个ip
确实很多回话是单向的包，但又不是全部
是不是镜像的配置有什么改变？
网络划分了vlan吧？
思科的书上说：
Only traffic that enters or leaves source ports or traffic that enters or leaves source VLANs can be
monitored by using SPAN; traffic routed to a source VLAN cannot be monitored. For example, if
incoming traffic is being monitored, traffic that gets routed from another VLAN to the source VLAN
cannot be monitored; however, traffic that is received on the source VLAN and routed to another VLAN
can be monitored.
我也不太明白这个routed是什么意思

另外一个问题
节点浏览器，按ip端点浏览下的5个子项，会话都没有项目，但单个ip地址又有

ValorZ · 发表于 2009-2-12 09:47:16

原帖由 oldjiang 于 2009-2-11 21:55 发表
思科的书上说：
Only traffic that enters or leaves source ports or traffic that enters or leaves source VLANs can be
monitored by using SPAN; traffic routed to a source VLAN cannot be monitored. For example, if
incoming traffic is being monitored, traffic that gets routed from another VLAN to the source VLAN
cannot be monitored; however, traffic that is received on the source VLAN and routed to another VLAN
can be monitored.

只有进出“门”才被monitor,路过不算.... ??

Se7en · 发表于 2009-2-12 11:05:34

什么设备？记得思科有几款2900和3500系列的交换机只支持一个方向上的数据镜像。

oldjiang · 发表于 2009-2-12 11:10:15

我就是不明白啊，
routed from another VLAN to the source VLAN ，那source VLAN不也receive了吗？跟received on the source VLAN 有什么区别
难道incoming traffic 仅指来自vlan内部的流量？

[ 本帖最后由 oldjiang 于 2009-2-12 11:12 编辑 ]

liaogao · 发表于 2009-2-12 16:45:38

我的华为三层交换机有时会有这种情况如果不是网卡问题或配置错误,就把端口镜像重新做一边，就ok了

Nelson · 发表于 2009-2-16 15:18:55

原帖由 oldjiang 于 2009-2-12 11:10 发表
我就是不明白啊，
routed from another VLAN to the source VLAN ，那source VLAN不也receive了吗？跟received on the source VLAN 有什么区别
难道incoming traffic 仅指来自vlan内部的流量？

如果是source port，那么就没问题，因为port是一个物理通道，不管这个通道的左边和右边是什么，只要经过这个通道就被monitor，这很容易做到。
而source vlan则不同。vlan是一个虚拟的概念，对于vlan来说，有vlan的左边或者右边这个理解么？所以source vlan不可以简单的理解为一个可通过的区域。因为这个“可通过”是虚拟的，从物理上来说，完全有可能数据包从同一边进，然后同一边出。
因此，把source lan 理解为一个stub（想像ospf或者eigrp的stub区域），是一个目的地。
那么数据的匹配条件就只能是：目的地为这个vlan的数据包
而routed，就是那些“经过”这个vlan但是源&目的都不是这个vlan的数据，自然也就不属于被monitor的范畴了。因为没有一个规则能把这样的数据包区别，并且提取出来。

感觉不对劲，但又看不出来

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 5# 的帖子