URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6745
[ Назад ]

Исходное сообщение
"анализ трафика!!!"

Отправлено chart , 02-Дек-04 16:52 
hello all, подскажите как (чем) можно сделать анализ траффика передоваемого по туннелю между маршрутизаторами...проблема в том что туннель загружен до придела и очень хочется понять чем именно...
Подскажите как это можно сделать...
спасибо...

Содержание

Сообщения в этом обсуждении
"анализ трафика!!!"
Отправлено Сайко , 02-Дек-04 16:56 
conf t
int tuXXX
ip route-cache flow
int tuYYY
ip route-cache flow
и т.д.
^Z
sh ip cac flo

"анализ трафика!!!"
Отправлено chart , 02-Дек-04 17:16 
rootcisco#sh ip cac flow
IP packet size distribution (8039 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .083 .126 .148 .110 .291 .016 .195 .002 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .020 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  4 active, 4092 inactive, 79 added
  3292 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 17032 bytes
  0 active, 1024 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet           1      0.0        32    48      0.0      38.4      15.2
TCP-SMTP             6      0.0        22    56      0.0      40.9      15.3
TCP-other           42      0.0        16   156      0.0       7.7       7.5
UDP-DNS              1      0.0         3    66      0.0       0.8      15.8
UDP-other           14      0.0         1  1066      0.0       0.0      15.4
ICMP                 6      0.0         1    60      0.0       0.4      15.4
IPINIP               5      0.0        24  1511      0.0      53.5      15.5
Total:              75      0.0        13   317      0.0      11.7      11.0

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Tu0           194.85.147.54   Local         217.69.223.6    32 59F4 0D27  3922
Tu0           10.10.224.3     Fa0/0         10.10.221.222   01 0000 0000   300
Tu0           10.10.224.9     Fa0/0         10.10.221.5     06 0733 01BD  1424
Tu0           10.10.224.34    Fa0/0         10.10.221.5     06 0A17 01BD  1398
rootcisco#

------------------------------------------------------

тут по ipinip (тунелю) идет 1500 ...а как бы понять что это такое?
можно как то проанализировать именно этот трафик?


"анализ трафика!!!"
Отправлено Сайко , 02-Дек-04 17:35 
01BD - это в HEX
445 - это в DEC
Порт 445 это microsoft-ds, если аномальная активность по этому порту - точно вирусы.

Либо лечить либо ACL, либо и то и то...


"анализ трафика!!!"
Отправлено chart , 02-Дек-04 17:48 
>01BD - это в HEX
>445 - это в DEC
>Порт 445 это microsoft-ds, если аномальная активность по этому порту - точно
>вирусы.
>
>Либо лечить либо ACL, либо и то и то...

спасибо за помощь, скажите подробней...я не понял на счет этого... 01BD - это в HEX ,445 - это в DEC

HEX и DEC что это..и 445 порт откуда (я не очень сдесь понимаю)



"анализ трафика!!!"
Отправлено chart , 02-Дек-04 17:50 
адреса 10.10.224.9 и 34 - это раб станции, 10.10.221.5 -PDC другого домена


"анализ трафика!!!"
Отправлено Сайко , 02-Дек-04 17:56 
HEX - Heximal - шестнадцатеричное представление числа
DEC - Decimal - десятеричное
1BD(16)==445(10)
Теперь прояснилось?

"анализ трафика!!!"
Отправлено chart , 02-Дек-04 17:59 
>HEX - Heximal - шестнадцатеричное представление числа
>DEC - Decimal - десятеричное
>1BD(16)==445(10)
>Теперь прояснилось?


да, теперь понемногу разбираюсь...спасибо вам