Главная » Форум » Gentoo Linux » Системное администрирование

Сниффер?

olegon 27 декабря, 2006 - 16:02

В tcpdump куча записей вида
14:57:05.893751 arp who-has 10.10.48.174 tell 10.10.19.57
14:57:05.894614 arp who-has 10.10.135.180 tell 10.10.19.57
14:57:05.895491 arp who-has 10.10.244.169 tell 10.10.19.57
14:57:05.896088 arp who-has 10.10.106.14 tell 10.10.19.57
14:57:05.896849 arp who-has 10.10.25.235 tell 10.10.19.57
14:57:05.903378 arp who-has 10.10.171.7 tell 10.10.19.57
14:57:05.911718 arp who-has 10.10.21.232 tell 10.10.19.57
14:57:05.912553 arp who-has 10.10.26.59 tell 10.10.19.57
14:57:05.913352 arp who-has 10.10.91.56 tell 10.10.19.57
14:57:05.914191 arp who-has 10.10.194.124 tell 10.10.19.57
14:57:05.926528 arp who-has 10.10.228.138 tell 10.10.19.57
14:57:05.927335 arp who-has 10.10.59.122 tell 10.10.19.57
14:57:05.930425 arp who-has 10.10.181.253 tell 10.10.19.57
14:57:05.931445 arp who-has 10.10.241.249 tell 10.10.19.57
14:57:05.932134 arp who-has 10.10.97.139 tell 10.10.19.57
14:57:05.956222 arp who-has 10.10.238.86 tell 10.10.19.57
14:57:05.969349 arp who-has 10.10.174.237 tell 10.10.19.57
14:57:05.969984 arp who-has 10.10.156.197 tell 10.10.19.57
14:57:06.018979 arp who-has 10.10.75.162 tell 10.10.19.57
14:57:06.044846 arp who-has 10.10.38.235 tell 10.10.19.57
14:57:06.045418 arp who-has 10.10.8.212 tell 10.10.19.57
14:57:06.046942 arp who-has 10.10.233.3 tell 10.10.19.57
14:57:06.064224 arp who-has 10.10.200.61 tell 10.10.19.57
14:57:06.064286 arp who-has 10.10.120.42 tell 10.10.19.57
14:57:06.066700 arp who-has 10.10.221.195 tell 10.10.19.57
14:57:06.069071 arp who-has 10.10.90.23 tell 10.10.19.57
14:57:06.069078 arp who-has 10.10.78.75 tell 10.10.19.57
14:57:06.069119 arp who-has 10.10.158.128 tell 10.10.19.57
14:57:06.069126 arp who-has 10.10.182.110 tell 10.10.19.57
14:57:06.069132 arp who-has 10.10.138.82 tell 10.10.19.57
14:57:06.069219 arp who-has 10.10.129.237 tell 10.10.19.57
что бы это значило?

‹ GCC-4.1.1. Glibc-2.5. Kernel test. Acovea. drupal ›
»

arp

Автор sungreen, дата создания 27 декабря, 2006 - 16:26.

... это arp запрос - "знает ли кто нибудь аппаратный адрес для такого IP, ответе мне?" ... обычно происходит при входе в локальную сеть, согласование arp-таблиц ...

»

может ты

Автор evadim, дата создания 27 декабря, 2006 - 19:31.

может ты анализатор какой-нить заюзаеш? wireshark тот-же?

»

хы..

Автор Ustas, дата создания 28 декабря, 2006 - 02:06.

Вообще виндовые машины так делают, когда в сеть входят. В домашних сетях такого паразитного трафика полно. Не уверен только, что это нормальное поведение - возможно, это червь какой-то на машине ищет пути для своего распространения.

»

Ну виндовая

Автор KiberGus, дата создания 28 декабря, 2006 - 11:48.

Ну виндовая система сетевых имен вообще подразумевает широковещательными пакетами эти имена узнавать. Из-за этого работает эта система до ближайшего роутера.
Кстати, из-за этого в M$ считают, что если ты обращаешься к компьютеру по виндовому имени - то он в локальной сети, а если по dns имени, то он в глобальной сети.

»

arp resolv

Автор Worm, дата создания 28 декабря, 2006 - 12:39.

Сам админю домашнюю сетку давно.
Причины такому поведению две, перегузка arp таблиц свичей
и использвование прог типа netlook и netview кои по сути являются сетевыми сканерами
причем эти проги чаще всего именно таблицы и перегружают
еще такое поведение характерно для kaht2 червей итд
те все что сеть сканирует
здесь видно что 10.10.19.57 сканирует сеть

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".