Столкнулся с интересной ситуацией, что и думать незнаю. Может кто-то подскажет, что сие такое. Ситуация следующая: оставил на ночь сниффер(tcpdump), посмотреть, что в сети делается, а утром обнаруживаю, что лог сниффера раздулся до размера в 250 Мб, причем за какие-то 10 минут(судя по меткам времени сниффера). В логе обнаруживаю кучу одинаковых записей вида:
07:15:00.000766 00:04:4d:b9:35:00 > 00:50:22:84:cd:7b, ethertype IPv4 (0x0800), length 62: IP (tos 0x20, ttl 117, id 33758, offset 0, flags [none], length: 48) 64.185.103.232.1927 > X.Y.Z.A.netbios-ssn: S [tcp sum ok] 1989457643:1989457643(0) win 16384 <mss 1460,nop,nop,sackOK>
, где X.Y.Z.A адрес(реальный) хоста в моей сети. Странность вот в чем, этот хост в то время работал и его MAC был зарегистрирован на свичах(у меня сеть на Cisco Catalyst различных моделей), но трафик почему-то свалился и мне на хост со сниффером. Переполнение MAC таблиц я исключаю, так как тогда бы в логах фигурировали и многие другие пакеты. Странность другая в том, что целевой хост судя по всему не послал ни одного RST, потому как порт netbios-ssn там просто не прослушивается. Судя по MAC адресу источника(это мой шлюз, Cisco 3640) пакеты действительно пришли извне и это не подмена. Кто-то может пояснить ситуацию?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on
08-Июн-05, 17:41 (MSK)
