На шлюзе ловлю следующие пакеты:
13:47:22.498275 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF)
13:47:25.406244 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF)
13:47:31.404889 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF)
13:47:43.455126 192.168.1.129.1891 > 191.168.1.1.4480: S 18366623:18366623(0) win 8192 <mss 1460,nop,nop,sackOK>(DF)хотя шлюз это 192.168.1.254, а не 129 или 1. За день порядка 4 тыс. таких пакетов попадает на шлюз. Что б эти пакеты значили?
Привет,tcpdump ставит ваш сетевой интерфейс в promiscous mode, т.е. он начинает "докладывать" весь трафик, который он видит, даже если трафик не предназначен ему. Возможно, в вашей сети стоит hub, а не switch; возможно, источник пакетов ошибочно задал свой gateway или сетевую маску и шлет через gateway пакеты, которые мог бы переслать прямо по сети...
WWell,
>tcpdump ставит ваш сетевой интерфейс в promiscous mode, т.е. он начинает "докладывать"
>весь трафик, который он видит, даже если трафик не предназначен ему.
>Возможно, в вашей сети стоит hub, а не switch;
Точно. А я и забыл что ещё где-то хабы используються.А что такие пакеты могут означать? Случайно они не указывают что на 192.168.1.1 кто-то заюзал прокси?
>А что такие пакеты могут означать? Случайно они не указывают что на
>192.168.1.1 кто-то заюзал прокси?
По преведенному вами выводу tcpdump это не определить. Если 192.168.1.1 отвечает на эти SYN, то там может быть и прокси.
Послушайте еще, натравите на 192.168.1.1 nmap.
Привет,Или запустите tcpdump с ключами "-o filename -s 0" и затем рассмотрите содержимое пакетов через "tcpdump -r filename -X" - если это прокси, то наверняка увидите HTTP заявку и ее полное содержимое...
WWell,