Pessoal, na verdade eu nunca reparei se reparei eu não lembro, pois antes tinha na rede um Switch basico um Dllink 24 portas não lembro o modelo, e foi substituido por um 3Com 2928 24 portas de 1GB e 4 fibra.
A minha dúvida é que quando não tem ninguém acessando a rede, só o Servidor Linux, Terminal server e impressoras de rede ficam ligados mas os leds no switch na portas destas máquina mencionadas acima ficam piscando constantemente.
OBS: Existe switch tem a tais Vlans, são 4 e Servidor Linux é o Roteador onde tem o link da net.
Outra coisa que reparei que o Modem também fica com ao leds da porta Internet e dados " Modelo do Modem Dlink DSL 500B IP Fixo (Business)" ficam também piscando sem parar, e não tem ninguém acessando a internet.
Já fiz uma varredura no logs e não encontrei nada de estranho.
Emtão rodei alguma ferrametas do tipo
Por exemplo e rodei o tcpdamp e mostrou isso abaixo, obs: não tem ninguém usando as estações no momento que executei o tcpdamp.
root@server-pdc:~# tcpdump -i eth0 src host 192.168.0.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:25:52.592923 IP server-pdc.opcaolinux.net.bootps > 192.168.3.1.bootps: BOOTP/DHCP, Reply, length 300
21:25:53.087085 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.3.168.192.in-addr.arpa. (42)
21:25:54.088496 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.3.168.192.in-addr.arpa. (42)
21:25:56.090811 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.3.168.192.in-addr.arpa. (42)
21:25:57.584703 ARP, Request who-has brazilfw.opcaolinux.local tell server-pdc.opcaolinux.net, length 28
21:26:00.456992 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
21:26:01.458253 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
21:26:03.460575 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
21:26:07.592267 IP server-pdc.opcaolinux.net.bootps > 192.168.2.1.bootps: BOOTP/DHCP, Reply, length 300
21:26:08.013706 IP server-pdc.opcaolinux.net.ipp > 192.168.0.255.ipp: UDP, length 167
21:26:08.090931 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.2.168.192.in-addr.arpa. (42)
21:26:09.014900 IP server-pdc.opcaolinux.net.ipp > 192.168.0.255.ipp: UDP, length 133
21:26:09.092229 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.2.168.192.in-addr.arpa. (42)
21:26:10.016270 IP server-pdc.opcaolinux.net.ipp > 192.168.0.255.ipp: UDP, length 120
21:26:11.094565 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.2.168.192.in-addr.arpa. (42)
21:26:13.093614 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 255.0.168.192.in-addr.arpa. (44)
21:26:14.094880 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 255.0.168.192.in-addr.arpa. (44)
21:26:16.096371 IP server-pdc.opcaolinux.net.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 255.0.168.192.in-addr.arpa. (44)
21:26:22.591550 IP server-pdc.opcaolinux.net.bootps > 192.168.3.1.bootps: BOOTP/DHCP, Reply, length 300
21:26:27.593453 ARP, Request who-has brazilfw.opcaolinux.local tell server-pdc.opcaolinux.net, length 28
21:26:37.590737 IP server-pdc.opcaolinux.net.bootps > 192.168.3.1.bootps: BOOTP/DHCP, Reply, length 300
21:26:39.045640 IP server-pdc.opcaolinux.net.ipp > 192.168.0.255.ipp: UDP, length 167
21:26:40.046871 IP server-pdc.opcaolinux.net.ipp > 192.168.0.255.ipp: UDP, length 133
21:26:41.048075 IP server-pdc.opcaolinux.net.ipp > 192.168.0.255.ipp: UDP, length 120
Executei o comando abaixo, mas não sai disso, saliento que a interface eth0 é a rede local.
root@server-pdc:~# tcpdump -i eth0 dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
-
10-03-2011, 18:01 #1
- Ingresso
- May 2009
- Posts
- 138
Trafegos de pacotes estranhos na rede e comportamento do switch + modem
-
10-03-2011, 18:03 #2
- Ingresso
- May 2009
- Posts
- 138
Re: Trafegos de pacotes estranhos na rede e comportamento do switch + modem
Já o comando abaixo aparace bastante coisa, e a interface eth1 é da rede externa, aqui fiquei preocupado, pois estou fazendo o teste quando não tem ninguém navegando.
OBS: onde tem 189-47-xxx-xxx é o meu IP Fixo Real.
root@server-pdc:~# tcpdump -i eth1 dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
21:49:50.393582 IP 189-47-xxx-xxx.dsl.telesp.net.br.26882 > ns39089.ovh.net.www: Flags [.], ack 502885609, win 8, options [nop,nop,TS val 25302341 ecr 294244291], length 0
21:49:50.565803 IP ..48854 > 189-47-xxx-xxx.dsl.telesp.net.br.www: Flags [.], ack 2217650274, win 54, options [nop,nop,TS val 1739790382 ecr 25302322], length 0
21:49:50.602386 IP 189-47-xxx-xxx.dsl.telesp.net.br.26882 > ns39089.ovh.net.www: Flags [.], ack 1, win 244, options [nop,nop,TS val 25302361 ecr 294244291], length 0
21:49:50.649990 IP 189-47-xxx-xxx.dsl.telesp.net.br.63674 > mail.51gcs.com.www: Flags [.], ack 1780234030, win 114, options [nop,nop,TS val 25302366 ecr 2320906205], length 0
21:49:50.728060 IP 189-47-xxx-xxx.dsl.telesp.net.br.14426 > 115.91.91.68.www: Flags [.], ack 4345, win 182, options [nop,nop,TS val 25302374 ecr 12190788], length 0
21:49:50.730300 IP wvps80-90-204-123.vps.webfusion.co.uk.1252 > 189-47-204-199.dsl.telesp.net.br.www: Flags [.], ack 2265286100, win 65496, length 0
21:49:50.735834 IP 189-47-xxx-xxx.dsl.telesp.net.br.37028 > hm1140.locaweb.com.br.www: Flags [.], ack 1049, win 71, options [nop,nop,TS val 25302375 ecr 41425997], length 0
21:49:50.740024 IP 189-47-xxx-xxx.dsl.telesp.net.br.37028 > hm1140.locaweb.com.br.www: Flags [.], ack 1573, win 79, options [nop,nop,TS val 25302375 ecr 41425997], length 0
21:49:50.743990 IP 189-47-xxx-xxx.dsl.telesp.net.br.37028 > hm1140.locaweb.com.br.www: Flags [.], ack 2097, win 87, options [nop,nop,TS val 25302376 ecr 41425998], length 0
21:49:50.876022 IP 189-47-xxx-xxx.dsl.telesp.net.br.37028 > hm1140.locaweb.com.br.www: Flags [.], ack 4193, win 120, options [nop,nop,TS val 25302389 ecr 41425999], length 0
21:49:50.879977 IP 189-47-xxx-xxx.dsl.telesp.net.br.37028 > hm1140.locaweb.com.br.www: Flags [.], ack 4717, win 128, options [nop,nop,TS val 25302389 ecr 41425999], length 0
21:49:50.883907 IP 189-47-xxx-xxx.dsl.telesp.net.br.37028 > hm1140.locaweb.com.br.www: Flags [.], ack 5241, win 136, options [nop,nop,TS val 25302390 ecr 41425999], length 0
Seja que tem alguém de fora usar o proxy?
Veja agora com o tshark que a versão texto do Wireshark na interface local eth0.
valdir@server-pdc:~$ sudo tshark -i eth0
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
0.710978 RealtekS_6a:05:99 -> 3comEuro_cc:ef:08 ARP Who has 192.168.0.2? Tell 192.168.0.1
0.712242 3comEuro_cc:ef:08 -> RealtekS_6a:05:99 ARP 192.168.0.2 is at 40:01:c6:cc:ef:08
2.000579 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
3.999785 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
5.999686 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
7.002220 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_0a 0x88a7 Ethernet II
7.999606 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
9.999500 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
10.718118 192.168.0.2 -> 192.168.0.1 DHCP DHCP Request - Transaction ID 0xc0a80207
10.718282 192.168.0.1 -> 192.168.2.1 DHCP DHCP NAK - Transaction ID 0xc0a80207
12.000000 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
13.999321 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
15.999342 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
16.351084 192.168.0.1 -> 192.168.0.255 CUPS ipp://192.168.0.1:631/printers/HP1522 (idle)
17.352328 192.168.0.1 -> 192.168.0.255 CUPS ipp://192.168.0.1:631/printers/LEXMARK (idle)
17.999226 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
18.353594 192.168.0.1 -> 192.168.0.255 CUPS ipp://192.168.0.1:631/printers/PDF (stopped)
19.999034 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
21.999525 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
23.998833 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002
25.717402 192.168.0.2 -> 192.168.0.1 DHCP DHCP Request - Transaction ID 0xc0a80302
25.717586 192.168.0.1 -> 192.168.3.1 DHCP DHCP NAK - Transaction ID 0xc0a80302
25.998806 3comEuro_cc:ef:0a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/40:01:c6:cc:ef:07 Cost = 0 Port = 0x8002Última edição por gamaj1; 10-03-2011 às 18:05.
-
13-03-2011, 02:47 #3Moderador
- Ingresso
- Nov 2010
- Localização
- Paraná
- Posts
- 1.053
Re: Trafegos de pacotes estranhos na rede e comportamento do switch + modem
Olá.
Vamos por partes:
Referente ao post 1:
O item "bootps" é o Bootstrap Protocol, regido pela norma RFC951[1]. É normalmente utilizado para estações sem disco, como thinclients, ou em processo de atualização de dispositivos ou ativos de rede (alguns switchs, roteadores e até console de jogos). "bootps" também pode ser a resposta de atribuição de um endereço dinâmico, gerada por um servidor DHCP, mediante solicitação de endereço, requisitado por um cliente de DHCP (bootpc). Simplificando, é o tráfego de alguma estação com IP automático. O seu novo switch, por padrão, está designado como cliente DHCP.
O item "mdns" é um serviço de MulticastDNS, a exemplo do ZeroConf, Bonjour e Avahi. Alguns dispositivos vem com esse serviço habilitado por padrão, como estações de trabalho Apple, NAS (FreeNAS ou Linksys NAS). O serviço é regido pela norma RFC3927[2]. Alguns switchs, quando não configurados (padrão de fábrica) possuem esse serviço habilitado.
O item "ipp", Internet Printing Protocol, é gerado por alguma impressora fazendo broadcast, anunciando sua existência na rede, ou estação querendo encontrar uma impressora na rede, por meio de resposta do broadcast. O IPP é regido pelas normas RFC2567[3], RFC2568[3], RFC2569[3], RFC2910[3], RFC2911[3], RFC3196[3], RFC3239[3], RFC3380[3], RFC3381[3], RFC3382[3], RFC3391[3], RFC3510[3], RFC3712[3], RFC3995[3], RFC3996[3], RFC3997[3] e RFC3998[3].
Referente ao post 2, parte 1:
Em relação ao tráfego da porta 80, somente na interface externa, caso você tenha proxy, certifique-se de que o binding está somente em endereço de interface interna. Caso não tenha proxy, veja se no seu modem, o gerenciamento remoto não está habilitado, e se as credenciais não são padrão, tipo "admin - admin", ou "root root". Veja nas regras de NAT do modem se há alguma escuta (listening) externa, nocivamente criada para usar seu link como relay.
Referente ao post 2, parte 2:
O seu novo switch (3Com, agora HP), possui o serviço de STP (Spanning Tree Protocol) nativamente habilitado. Esse serviço define uma identificação para cada dispositivo (desde que suportado e com serviço habilitado), evitando loopings. É usado um mapeamento em árvore ou grafo, não podendo um requisição, no mesmo sentido, com a mesma marcação, passar novamente no mesmo sentido com a mesma marcação. O STP é regido pelas normas RFC2674[4], RFC1525[5] e RFC1493[6].
Espero ter ajudado.
[1] http://tools.ietf.org/html/rfc951
[2] http://tools.ietf.org/html/rfc3927
[3] http://www.pwg.org/ipp/
[4] http://tools.ietf.org/html/rfc2674
[5] http://tools.ietf.org/html/rfc1525
[6] http://tools.ietf.org/html/rfc1493
Saudações,
Trober
-
-
-
-
-Última edição por trober; 22-07-2011 às 11:50. Razão: Correção ortográfica
-
17-03-2011, 18:10 #4
- Ingresso
- May 2009
- Posts
- 138
Re: Trafegos de pacotes estranhos na rede e comportamento do switch + modem
Muito obrigado pela explanação, depois de sua aula, fiquei só preocupado com o proxy, já que os demais é tragefo são gerado devdo os dipositivos de rede conforme sua explicação.
Continua com a conexão da Internet muito lenta, mesmo quando não tem uma única máquina acessando a net, sobre o modem ele tem IP fixo, "ADLS Bussines" Telefonica.
Também irei verificar com a telefonica, se não é problema da Central deles.
Abraço.
-
02-08-2011, 21:07 #5
- Ingresso
- Dec 2007
- Localização
- Aracati, Brazil
- Posts
- 260
Re: Trafegos de pacotes estranhos na rede e comportamento do switch + modem
Amigo fiquei impressionado com a ajuda, parabéns eu abri o tópico apenas por curiosisade, mais achei demais a forma que se ajudou o amigo.
Postado originalmente por trober
-
02-08-2011, 21:55 #6Moderador
- Ingresso
- Nov 2010
- Localização
- Paraná
- Posts
- 1.053
Re: Trafegos de pacotes estranhos na rede e comportamento do switch + modem
Muito grato superxandaoce.
Estando dentro das possibilidades, respondo. De certa forma, essa é a maneira que tenho de agradecer a ajuda desconhecida (quando não anônima) que já encontrei em forums, listas e grupos de discussão.
Saudações,
Trober
-
-
-
-
-
