网络分析专家论坛 netexpert » Trace File专版 » Trace File 案例讨论之————交换机本地环路

fishyxq 发表于 2006-12-21 12:11

Trace File 案例讨论之————交换机本地环路

[color=Blue]补充：额老婆说额是属牙膏的，什么事情要挤才动:loveliness: ，因此部分环境信息是有兄弟问起才说的。建议参与讨论的兄弟最好把每层楼都要逛到，呵呵！[/color]



一个用户报有病毒，网络流量大导致网络对外访问中断，内网访问正常。

现在问题已解决。问题是是什么原因造成的，根据Trace File文件能看到什么呢？

对正确的答案及对原理分析恰当合理的进行加分鼓励:)

两个包的内容一样，只是为了大家使用爱好分别做成cap的包和pkt的包。

[[i] 本帖最后由 fishyxq 于 2006-12-25 15:39 编辑 [/i]]

zhou_li 发表于 2006-12-21 16:49

能不能对抓包环境描述一下？

fishyxq 发表于 2006-12-21 19:38

互联网-----(光纤联路)------收发器-----普通交换机(不知道为什么要这样接的,呵呵,估计是有其他兄弟单位共用这个光纤联路)------防火墙------核心交换机-----光纤收发器-----各接入层交换机(共计有20多台),此数据包在有问题的哪个工作站所在的VLAN的交换机上捕获的.:loveliness:

该交换机为锐捷的非网管普通交换机,无法进行端口镜像,仅仅是将带有协议分析软件的本本接到其中一个随意的端口上的.:loveliness:

[[i] 本帖最后由 fishyxq 于 2006-12-22 13:02 编辑 [/i]]

jingshne 发表于 2006-12-22 11:19

你的本本就有没有配置IP啊?
如果没有配置,那么172.17.81.147这个IP是在哪个位置需要说明一下~

还是说这个IP是否就是中毒机器的IP?也需要告之一下!

jingshne 发表于 2006-12-22 11:48

不过,从已知情况来看,147应该不是本机,
因为是从思科交换机上发出来的,而且有被延后,

所以,初步以为,病毒引起了思科和锐捷交换机的MAC泛洪~

另外,在81网段里面有环路产生~~~

[[i] 本帖最后由 jingshne 于 2006-12-22 11:51 编辑 [/i]]

fishyxq 发表于 2006-12-22 12:12

[quote]原帖由 [i]jingshne[/i] 于 2006-12-22 11:48 发表
1、不过,从已知情况来看,147应该不是本机,
因为是从思科交换机上发出来的,而且有被延后,

2、所以,初步以为,病毒引起了思科和锐捷交换机的MAC泛洪~

3、另外,在81网段里面有环路产生~~~ [/quote]


对两点。

再个：本人的本本地址为130；
其次：捕获数据包时该交换机并未同核心的6509相连

疑问：引起mac泛洪是由于交换机处理性能不足而导致的交换机成为hub吗（有些地方是这么说的，想找个做交换的兄弟确认下）？

欢迎大家继续。。。。。。

[[i] 本帖最后由 fishyxq 于 2006-12-22 13:14 编辑 [/i]]

jingshne 发表于 2006-12-22 13:16

[quote]原帖由 [i]fishyxq[/i] 于 2006-12-22 12:12 发表



对两点。

再个：本人的本本地址为130；
其次：捕获数据包时该交换机并未同核心的6509相连

疑问：引起mac泛洪是由于交换机处理性能不足而导致的交换机成为hub吗（有些地方是这么说的，想找个做交换 ... [/quote]

没有思科设备,那他那个思科的MAC地址是哪来的?

MAC泛洪一般是由于MAC地址表项过载引起的,这似乎跟性能关系不大~

fishyxq 发表于 2006-12-22 13:30

[quote]原帖由 [i]jingshne[/i] 于 2006-12-22 13:16 发表


没有思科设备,那他那个思科的MAC地址是哪来的?

MAC泛洪一般是由于MAC地址表项过载引起的,这似乎跟性能关系不大~ [/quote]


[color=Red]没有思科设备,那他那个思科的MAC地址是哪来的?[/color]

这个正是玄妙所在，原因在兄台的另一个答案中


[color=Blue]MAC泛洪一般是由于MAC地址表项过载引起的[/color]

想具体了解学习下，不知j兄有没有好的资料给俺学习下咯

[[i] 本帖最后由 fishyxq 于 2006-12-22 13:37 编辑 [/i]]

jingshne 发表于 2006-12-22 14:01

[quote]原帖由 [i]fishyxq[/i] 于 2006-12-22 13:30 发表



没有思科设备,那他那个思科的MAC地址是哪来的?

这个正是玄妙所在，原因在兄台的另一个答案中


MAC泛洪一般是由于MAC地址表项过载引起的

想具体了解学习下，不知j兄有没有好的资料给俺学习下咯 [/quote]


哦,这么说来就是缓存在交换机里面被延时发出来的了?~

记得以前wuhanzhou有发过一遍讲MAC泛洪的,不过现在一时半伙找不着,等找着了再跟你传一下:)

fishyxq 发表于 2006-12-22 14:10

[quote]原帖由 [i]jingshne[/i] 于 2006-12-22 14:01 发表



[color=Red]哦,这么说来就是缓存在交换机里面被延时发出来的了?~[/color]



不知J兄有没有注意到这个数据包的汇总信息:)

[[i] 本帖最后由 fishyxq 于 2006-12-22 14:11 编辑 [/i]]

jingshne 发表于 2006-12-22 15:01

[quote]原帖由 [i]fishyxq[/i] 于 2006-12-22 14:10 发表
原帖由 jingshne 于 2006-12-22 14:01 发表



哦,这么说来就是缓存在交换机里面被延时发出来的了?~



不知J兄有没有注意到这个数据包的汇总信息:) [/quote]


呵呵,有注意到~~

只是因为时间太短,那些信息已经没有多大的参考价值~


俺个人以为,在打开捕获的一瞬间,因为多方面的原因,会有些数据不准确,所以,一般起始的那一瞬间,俺是不参考的.

fishyxq 发表于 2006-12-22 15:11

回复 #11 jingshne 的帖子

这个是由于额本人的失误，当时没有打开循环捕捉

实际上我当时打开捕获到停止有10分钟，但是感觉上像是在一打开的时候sniffer的缓存就满了，哈哈

由此不知j兄有没有什么想法勒？！:)

还有一点就是大家有注意到额的本本sniffer（172.17.81.130）同疑问机器（172.17.81.147）之间的通讯包勒

[[i] 本帖最后由 fishyxq 于 2006-12-22 15:17 编辑 [/i]]

jingshne 发表于 2006-12-22 15:26

[quote]原帖由 [i]fishyxq[/i] 于 2006-12-22 15:11 发表
这个是由于额本人的失误，当时没有打开循环捕捉

实际上我当时打开捕获到停止有10分钟，但是感觉上像是在一打开的时候sniffer的缓存就满了，哈哈

由此不知j兄有没有什么想法勒？！:)

还有一点就是大家有 ... [/quote]


缓存可以调大,不然的话,缓存满了就自动停了

你机器的通讯明显就是有环路啊,可是按你的说法,应该没有环境的条件,这一点倒是不明白~~~

fishyxq 发表于 2006-12-22 15:40

[quote]原帖由 [i]jingshne[/i] 于 2006-12-22 15:26 发表




[color=Red]你机器的通讯明显就是有环路啊[/color]



经验呀，能给个具体判断的流程吗，相信很多兄弟跟额一样想了解呀:loveliness:

jingshne 发表于 2006-12-22 15:53

[quote]原帖由 [i]fishyxq[/i] 于 2006-12-22 15:40 发表
原帖由 jingshne 于 2006-12-22 15:26 发表




你机器的通讯明显就是有环路啊



经验呀，能给个具体判断的流程吗，相信很多兄弟跟额一样想了解呀:loveliness: [/quote]


第一:IPID相同
第二:生存时间

fishyxq 发表于 2006-12-22 16:07

[quote]原帖由 [i]jingshne[/i] 于 2006-12-22 15:53 发表



第一:IPID相同
第二:生存时间 [/quote]


谢了，谢了，受用受用！:loveliness:  :loveliness:

还有个很有意思的地方，在抓包环境中，有疑似的那个147的机器始终没有连接在网络上。:funk:  :funk:

不知如何解释这个现象咯？！

[[i] 本帖最后由 fishyxq 于 2006-12-22 16:10 编辑 [/i]]

jingshne 发表于 2006-12-22 16:39

[quote]原帖由 [i]fishyxq[/i] 于 2006-12-22 16:07 发表



谢了，谢了，受用受用！:loveliness:  :loveliness:

还有个很有意思的地方，在抓包环境中，有疑似的那个147的机器始终没有连接在网络上。:funk:  :funk:

不知如何解释这个现象咯？！ [/quote]

呵呵,俺想这个原因应该综合考虑.


看他发给你的数据,其目的MAC也是思科的MAC,按说你们在同一个普通交换机的网络里,又是同一个网段,完全是没有这个必要的.

所以,可能的原因,似乎就有了设置错误或者欺骗什么的了~~~

fishyxq 发表于 2006-12-22 16:59

[quote]原帖由 [i]jingshne[/i] 于 2006-12-22 16:39 发表


呵呵,俺想这个原因应该综合考虑.


看他发给你的数据,其目的MAC也是思科的MAC,按说你们在同一个普通交换机的网络里,又是同一个网段,完全是没有这个必要的.

所以,可能的原因,似乎就有了设置错误或者欺 ... [/quote]


原因在j兄的答案中，但是俺不知道为什么会出现这种 Trace File，以及如何通过这种 Trace File得出这个答案



在下周一下午3点或周二上午进行现场还原，期待大家共同分析讨论，共同学习之。

此板块中没有菜鸟和高手之分。。。。。。:loveliness:  :loveliness:

[[i] 本帖最后由 fishyxq 于 2006-12-22 17:27 编辑 [/i]]

josephly 发表于 2006-12-23 00:15

回复 #18 fishyxq 的帖子

高手和菜鸟的区分太大了……偶就还是没看明白到底是为什么…… :funk:

zhou_li 发表于 2006-12-23 08:21

是不是有人在搞mac泛洪攻击?
还有，为什么内网能访问？既然有mac泛洪内网应该也不能访问啊。

[[i] 本帖最后由 zhou_li 于 2006-12-23 08:46 编辑 [/i]]

fishyxq 发表于 2006-12-23 13:31

[quote]原帖由 [i]josephly[/i] 于 2006-12-23 00:15 发表
高手和菜鸟的区分太大了……偶就还是没看明白到底是为什么…… :funk: [/quote]

呵呵,可以将你通过这个 Trace File看到些什么信息跟我们分享下吗?

说实在的,我也没有看出什么来,现场处理时只是根据直觉去处理的:funk:

zhou_li 发表于 2006-12-24 08:56

谢谢楼主，学到不少实践经验。下周要考计算机网络和软件工程，复习去，不能天天来逛了。
以后楼主多将自己的实际经验和我们分享。

fishyxq 发表于 2006-12-25 15:49

先把故障原因告诉大家，等待更具体的分析：

由于sniffer所在的交换机上的7号端口同23号端口环路连接，大量的重复数据包导致防火墙前面的交换机最终拥塞死机。

与病毒无任何关系！:loveliness:


进行包捕获时，147机器并未有连接到该交换机上；
进行包捕获时，该交换机未连接到核心交换机上。

jingshne 发表于 2006-12-28 10:47

呵呵，刚才测试了一下，让一个普通交换机MAC 泛洪只要一两分钟！！

只是奇怪的是，如果攻击一但停下来，立马就会恢复正常，不至于要重起交换机啊？

而如果不停下来的话，只要一抓包，就会很快发现有这种攻击的存在！！！

莫不成是俺攻击强度不够大？

khero 发表于 2007-4-10 17:56

能不能贴个sniffer的分析图出来，给sniffer用户们长长经验？谢了！:)

查看完整版本: Trace File 案例讨论之————交换机本地环路