CSNA网络分析论坛»首页 流量分析 网络分析 用科来,卡巴的共同问题?
返回列表 发帖
查看: 4555|回复: 19

用科来,卡巴的共同问题?

[复制链接]
hudeg632
发表于 2007-6-1 23:00:58 | 显示全部楼层 |阅读模式
我用科来和卡巴时,会不断发送eth数据包,来源地址00:30:F1:5F:81:C7,目的地址01:80:C2:00:00:00,type ethernet 0026
哪位高手能解释一下,网上找了好多时间都没找到.

[ 本帖最后由 hudeg632 于 2007-6-17 10:37 编辑 ]
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-1 23:10:31 | 显示全部楼层
编号          绝对时间                     源                             目标                         协议                      大小          概要                                                      
1           23:08:07.262503          Accton Tech:5F:81:C7          01:80:C2:00:00:00          Ethernet 802.2          78          从 00:30:F1:5F:81:C7 到 01:80:C2:00:00:00 的正常数据包
回复

使用道具 举报

KelvinFu
发表于 2007-6-4 10:00:50 | 显示全部楼层
LZ描述的情况,与科来网络分析系统和卡巴是完全没有任何关系的!

编号       绝对时间                                    源                 目标                             协议                     大小          概要                                                      
1           23:08:07.262503      Accton Tech:5F:81:C7       01:80:C2:00:00:00          Ethernet 802.2      78          从 00:30:F1:5F:81:C7 到 01:80:C2:00:00:00 的正常数据包

上面这个数据是一个标准的组播数据。可能是你交换机上开启了STP(生成树协议)而发起的数据包,它起避免网络环路的作用。

当然也不排除这是人为伪造的数据包

[ 本帖最后由 KelvinFu 于 2007-6-4 10:33 编辑 ]
回复

使用道具 举报

KIMICN
发表于 2007-6-5 09:21:08 | 显示全部楼层
以太网组播地址应该是: 01:00:5E:00:00:00 ~ 01:00:5E:7F:FF:FF 吧
回复

使用道具 举报

KelvinFu
发表于 2007-6-5 09:35:06 | 显示全部楼层
原帖由 KIMICN 于 2007-6-5 09:21 发表
以太网组播地址应该是: 01:00:5E:00:00:00 ~ 01:00:5E:7F:FF:FF 吧



感谢KIMICN兄的指正,

IP组播地址范围为224.0.0.0~239.255.255.255,映射到以太网组播地址为01.00.5E.00.00.00~ 01.00.5E.7F.FF.FF。

这应该是STP协议,交换在开启的时候,为了避免环路而发起的数据包。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-7 02:55:34 | 显示全部楼层
先谢谢lz,我也知道这是个组播地址.
我一运行科来,就会不断出现上面的数据包,但是我退出科来后,上面的数据包就没有了.用卡巴也是这样,是不是这两个软件都用了什么?我用的防火墙是 look n stop.你能研究一下吗?万分感谢.
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-7 03:09:01 | 显示全部楼层

回复 #3 KelvinFu 的帖子

这是用科来时的图,我用look n stop 看来的

[ 本帖最后由 hudeg632 于 2007-6-7 03:19 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-9 00:10:13 | 显示全部楼层

回复 #7 hudeg632 的帖子

你们没有这样的问题吗?我还能用科来和卡巴吗?我又发现了新问题,好象用网络管理软件也有类似的情况.请教各位高手了.
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-15 16:49:20 | 显示全部楼层
好象用到网络软件就会有这样的数据包出现,这是不是与某个软件有关,我用科来,卡巴,网络执法官,欣向全,都是这样?谁能帮一下吗?
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-17 00:42:40 | 显示全部楼层

科来和卡巴基斯为什么都会发同样的数据包

为什么没有人来回答,请来这个论坛的高手帮一下好吗,最好是科来的专家. :'( :'( :'( 网上找了好长时间了,科来和卡巴基斯为什么都会发同样的数据包?
回复

使用道具 举报

Roy
发表于 2007-6-17 20:46:09 | 显示全部楼层
这些数据包不是科来网络分析系统发的,是网络中其他主机发的
之所以你运行科来网络分析系统后看到这些数据包,是因为科来会将网卡设置为混杂模式,接收网络中所有的数据包。
换句话说就是这些数据包一直在网络中被其他主机传送,只是没有运行科来网络分析系统的时候,你的网卡不会接收这些数据包,自然你就看到不到。
卡巴,网络执法官,欣向全和科来的工作原理是一样的。
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-18 00:28:37 | 显示全部楼层
谢谢Roy
  我的防火墙是用的look n stop ,只要我一上科来和卡巴就会出现这样的数据包,这个防火墙不是工作在混杂模式的吗??我网络中没有这个网卡地址.
你能帮我讲讲混杂模式吗?这是不是和winpcap有点关系(别笑我哈 )
我怎样才能找到发这个数据包的机器?谢谢你了.


另我的图发不上来了.附件文件无法保存到服务器,可能是目录属性设置问题,请与管理员联系
回复

使用道具 举报

Roy
发表于 2007-6-18 09:19:44 | 显示全部楼层
防火墙软件不工作在混杂模式
winpcap是较为流行的开源抓包驱动,其工作原理也是将网卡设置为混杂模式然后抓包
关于混杂模式可以参考这个帖子
http://www.csna.cn/forum.php?mod=viewthread&tid=1075
如果收到的数据报非伪造,要找到发这个数据包的机器很容易,看源MAC地址就可以了。
回复

使用道具 举报

zealotcc
发表于 2007-6-18 09:23:05 | 显示全部楼层
这个就是STP的BPDU,两秒一个,没差
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-19 00:44:59 | 显示全部楼层

回复 #13 Roy 的帖子

再一次谢谢你,向你学习了
我局域网中没有这个地址,我也不知道它是不是人为修改的地址,我要用什么软件才能查到它的真正来源地?谢谢你的赐教.
我发现这个问题有半年了,网上找了好多时间都没找到答案,现在找到这个好地方,我要常来.
对了,我用防火墙拦截后,科来一个数据包也收不到了,科来是工作在防火墙后对吗?
还有,你能详细地解释一下这个数据包吗?不胜感激.

[ 本帖最后由 hudeg632 于 2007-6-19 02:25 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-19 00:50:14 | 显示全部楼层

回复 #14 zealotcc 的帖子

zealotcc 你好,谢谢你
   "这个就是STP的BPDU,两秒一个,没差"对我很有帮助,我在网上查了一下,把它们贴出来,一是谢谢上面的版主们,二是为来看这个贴的朋友有点收获.大家一起进步.
生成树协议(STP)

1. 冗余链路:冗余连接可以防止网络中的单点失效的问题;冗余连接也导致了交换回路的出现。

2. 交换回路引发的问题:广播风暴;同一帧的多拷贝;不稳定的MAC地址表。

3. STP介绍:通过阻塞一个或多个冗余端口,维护一个无回路的网络(IEEE802.1d)

4. 工作过程:运行生成树算法(STA)的交换机定期发送BPDU;选取唯一一个根 网桥;在每个非根网桥选取唯一一个根端口;在每网段选取唯一一个标志端口。

(1). 选取唯一一个根网桥:BPDU中包含Bridge ID;Bridge ID(8B)=优先级(2B)+交换机MAC地址(6B);一些交换机的优先级默认为32768,可以修改;优先级值最小的成为根网桥;优先级值最小的成为根网桥;优先级值相同,MAC地址最小的成为根网桥;Bridge ID值最小的成为根网桥;根网桥缺省每2秒发送一次BPDU;

(2). 在每个非根网桥选取唯一一个根端口:根网桥上没有根端口;端口代价最小的成为根端口;端口代价相同,Port ID最小端口的成为端口;Port ID通常为端口的MAC地址;MAC地址最小的端口成为根端口;

(3). 在每网段选取唯一一个标志端口:端口代价最小的成为标识端口;根网桥端口到各网段的代价最小;通常只有根网桥端口成为标识端口;被选定为根端口和标识端口的进行转发状态;落选端口进入阻塞状态,只侦听BPDU;

(4). 阻塞端口在指定的时间间隔(缺省20秒)收不到BPDU时,会重新运行生成树算法进行选举;缺点:在运行生成树算法的过程中,网络处理阻断状态,所有端口都不进行转发。计算过程缺省为50秒。



STP BPDU是一种二层报文,目的MAC是多播地址01-80-C2-00-00-00,所有支持STP协议的网桥都会接收并处理收到的BPDU报文。


http://hi.baidu.com/wsw370/blog/item/1c6f0e4a8e9aa22209f7efea.html

[ 本帖最后由 hudeg632 于 2007-6-19 10:25 编辑 ]
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-19 10:42:13 | 显示全部楼层

回复 #14 zealotcc 的帖子

再问局域网中的一客机也可以发这样的包吗?

[ 本帖最后由 hudeg632 于 2007-6-19 10:54 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-6-19 17:55:15 | 显示全部楼层

回复 #14 zealotcc 的帖子

你好
我不上科来和卡巴是也有时发现这样的ETH包,只是一上这两个软件就不断的收到这样的数据包,而且局域网络中只有我这一台机器在运行,是不是这两个软件都有把运行它机器强制作为了根网桥?
回复

使用道具 举报

zealotcc
发表于 2007-6-19 20:35:00 | 显示全部楼层

回复 #18 hudeg632 的帖子

开启了stp的设备都会发hello包,科来和卡巴只是让你能抓到而已
回复

使用道具 举报

hudeg632
 楼主| 发表于 2007-7-22 20:24:13 | 显示全部楼层

回复 #19 zealotcc 的帖子

你能回答一下#17吗?这时我没有上科来和卡巴等类似的软件,就是你说的没有让网卡工作在混杂模式下,但我的防火墙仍拦截了这样的数据包.什么原因呢?
谢谢您
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表