Sziasztok!
Szeretném egy hálózaton megmérni, hogy mely eszközök mennyi broadcast forgalmat generálnak.
Vannak a hálózaton 10 megabites eszközök, amenyek gyanúsan egyszerre halnak le, valószínűleg azért, mert 10 mbit fölé emelkedik a broadcast forgalom...
Szeretném kideríteni ki küldi ezt a broadcast-ot. Mit tudtok javasolni erre a feladatra?
Előre is köszönöm!
Petya
- 2458 megtekintés
Hozzászólások
-
- A hozzászóláshoz be kell jelentkezni
Legegyszerubb egy wireshark az egyik gepre. Folyamatosan figyeled, es amikor lehal, megnezed ki mit kuldott. Ha broadcast, akkor minden gep megkapja a halon.
--
I hate conspiracy theorists. I'm sure they're all working together somehow to bring down society.
- A hozzászóláshoz be kell jelentkezni
Igen, csak az a baj, hogy ahhoz túl ritkán jön elő a probléma, hogy folyamatosan futtassak egy wireshark-ot, és a wireshark pcap fájlból nem egyszerű kiszámolni hogy mennyi volt adott pillanatban az összes broadcast forgalom.
Ezért keresek valami alternatív megoldást erre.
Petya
- A hozzászóláshoz be kell jelentkezni
Ok, nem volt vilagos, hogy milyen gyakran es milyen latvanyosan kerul elo a problema.
Egyebkent ha 1 eszkoz arasztja el a halot, akkor nincs mit szamolni.
--
I hate conspiracy theorists. I'm sure they're all working together somehow to bring down society.
- A hozzászóláshoz be kell jelentkezni
Nos, sniffeltem egyet, és nagyon sok ARP csomagot látok, amelyek a gateway-től származnak, de feleslegesek.
Pl. a gateway küld egy ARP csomagot, amiben elkéri egy adott IP-hez tartozó MAC címet. Majd kb 5 másodperc múlva ugyanezt megteszi újra. És ezt persze nem 1 hostra csinálja, hanem az összesre. Mintha nem működne az ARP cache-elés...
Petya
- A hozzászóláshoz be kell jelentkezni
Ha elmondod, milyen eszköz a gw, talán tudunk segíteni az ötletelésben, hogy mi a pék lehet a probléma...
- A hozzászóláshoz be kell jelentkezni
"Mintha nem működne az ARP cache-elés"
Vagy működik, csak éppenséggel 5 másodpercre van állítva a cache timeoutja. Ahogy zeller is írta, az eszköz típusának ismeretében meg lehet nézni, hogy állítható-e. Ha igen, emeld meg.
Mindazonáltal el kell azon is gondolkodni, hogy ha a router ARP-jéből származó broadcast forgalom 10 Mbps körül van, akkor ott valami nagyon nincs rendben. Egyáltalán mekkora az a broadcast domain? Nézd meg tüzetesebben, hogy a teljes broadcast forgalom mekkora része származik ARP-ből, és azt nagyrészt a router generálja-e.
- A hozzászóláshoz be kell jelentkezni
Esetleg ki lehet indulni iptables vagy arptables -hez hozzáadott megfelelő forgalomra matchelő szabályokból, azok naplózásából és a hozzájuk tartozó csomagszámlálókból is.
- A hozzászóláshoz be kell jelentkezni
del, write only vagyok megint...
- A hozzászóláshoz be kell jelentkezni