论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-03-10 17:11 |只看该作者 |倒序浏览

5可用积分

机房上级交换机接到我的3550上，3550接到几个服务器上。
我现在可以在我任意一个服务器上，抓到我其它几台机器的udp或tcp的包（只是入包），而且我还可以抓到同一vlan下（应该是上层交换机分的）其它的机器的包。
我的3550没做任何设置，
其余的口也都这样。
interface FastEthernet0/16
switchport mode access
no ip address
no cdp enable
只分了一个vlan，设了个IP，目的是可以远程管理。

如何设置可以避免上面两种情况？

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2009-03-10 17:29 |只看该作者

抓的包帖出来一部分。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

hjp0021

富足长乐

论坛徽章:: 0

3楼 [报告]

发表于 2009-03-10 17:35 |只看该作者

避免不同VLAN机器的访问，在3550的端口上只配置需要的VLAN：
int f0/16
no sw mo acc vlan 1
sw mo ac vl vlan-id

避免同一个VLAN机器对你的访问，启用防火墙策略，只开启需要的端口。

抓到我其它几台机器的udp或tcp的包（只是入包），而且我还可以抓到同一vlan下（应该是上层交换机分的）其它的机器的包。

有些报文可能是广播包，不要紧的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

aredfox

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2009-03-11 09:44 |只看该作者

"169","147.189017","203.208.60.144","邻居的ip","TCP","62159 > http [SYN] Seq=0 Win=5720 Len=0 MSS=1430 TSV=942052046 TSER=0 WS=6"
tcp部分：
0020 fc 28 f2 cf 00 50 0d 8e 28 0a 00 00 00 00 a0 02
0030 16 58 fc cd 00 00 02 04 05 96 04 02 08 0a 38 26
0040 92 ce 00 00 00 00 01 03 03 06
很多时候，邻居开了web服务，经常能抓到http的包。这个应该不是广播吧。
我的交换机只有1个vlan没起到什么作用，实际的vlan是上层交换机分的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

5楼 [报告]

发表于 2009-03-11 09:53 |只看该作者

如果能抓到非广播包的话肯定不正常。

帖交换机的配置、MAC地址表、ARP地址表。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

aredfox

丰衣足食

论坛徽章:: 0

6楼 [报告]

发表于 2009-03-11 10:55 |只看该作者

version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
!
hostname Switch
!
enable secret 5 $1$Q/zk$bKslEfz78yG3oUlZsi8b8/
!
clock timezone Beijing 8
ip subnet-zero
ip name-server 202.106.196.115
ip name-server 202.106.46.151
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
interface FastEthernet0/1
switchport mode access
no ip address
no cdp enable
!
interface FastEthernet0/2
switchport mode access
no ip address
no cdp enable
其余40多口相同
interface Vlan1
ip address *.*.*.* 255.255.255.128
!
ip classless
ip route 0.0.0.0 0.0.0.0 *.*.*.*
no ip http server
no cdp run

mac表
-------------------------------------------

Vlan Mac Address    Type       Ports
---- -----------    -------- -----
All 000d.bdcc.7f80 STATIC    CPU
All 000d.bdcc.7f81 STATIC    CPU
All 000d.bdcc.7f82 STATIC    CPU
All 000d.bdcc.7f83 STATIC    CPU
All 000d.bdcc.7f84 STATIC    CPU
All 000d.bdcc.7f85 STATIC    CPU
All 000d.bdcc.7f86 STATIC    CPU
All 000d.bdcc.7f87 STATIC    CPU
All 000d.bdcc.7f88 STATIC    CPU
All 000d.bdcc.7f89 STATIC    CPU
All 000d.bdcc.7f8a STATIC    CPU
All 000d.bdcc.7f8b STATIC    CPU
All 000d.bdcc.7f8c STATIC    CPU
All 000d.bdcc.7f8d STATIC    CPU
All 000d.bdcc.7f8e STATIC    CPU
All 000d.bdcc.7f8f STATIC    CPU
All 000d.bdcc.7f90 STATIC    CPU
All 000d.bdcc.7f91 STATIC    CPU
All 000d.bdcc.7f92 STATIC    CPU
All 000d.bdcc.7f93 STATIC    CPU
All 000d.bdcc.7f94 STATIC    CPU
All 000d.bdcc.7f95 STATIC    CPU
All 000d.bdcc.7f96 STATIC    CPU
All 000d.bdcc.7f97 STATIC    CPU
All 000d.bdcc.7f98 STATIC    CPU
All 000d.bdcc.7f99 STATIC    CPU
All 000d.bdcc.7f9a STATIC    CPU
All 000d.bdcc.7f9b STATIC    CPU
All 000d.bdcc.7f9c STATIC    CPU
All 000d.bdcc.7f9d STATIC    CPU
All 000d.bdcc.7f9e STATIC    CPU
All 000d.bdcc.7f9f STATIC    CPU
All 000d.bdcc.7fa0 STATIC    CPU
All 000d.bdcc.7fa1 STATIC    CPU
All 000d.bdcc.7fa2 STATIC    CPU
All 000d.bdcc.7fa3 STATIC    CPU
All 000d.bdcc.7fa4 STATIC    CPU
All 000d.bdcc.7fa5 STATIC    CPU
All 000d.bdcc.7fa6 STATIC    CPU
All 000d.bdcc.7fa7 STATIC    CPU
All 000d.bdcc.7fa8 STATIC    CPU
All 000d.bdcc.7fa9 STATIC    CPU
All 000d.bdcc.7faa STATIC    CPU
All 000d.bdcc.7fab STATIC    CPU
All 000d.bdcc.7fac STATIC    CPU
All 000d.bdcc.7fad STATIC    CPU
All 000d.bdcc.7fae STATIC    CPU
All 000d.bdcc.7faf STATIC    CPU
All 000d.bdcc.7fb0 STATIC    CPU
All 000d.bdcc.7fb1 STATIC    CPU
All 000d.bdcc.7fb2 STATIC    CPU
All 0100.0c00.0000 STATIC    CPU
All 0100.0ccc.cccc STATIC    CPU
All 0100.0ccc.cccd STATIC    CPU
All 0180.c200.0000 STATIC    CPU
All 0180.c200.0001 STATIC    CPU
All 0180.c200.0002 STATIC    CPU
All 0180.c200.0003 STATIC    CPU
All 0180.c200.0004 STATIC    CPU
All 0180.c200.0005 STATIC    CPU
All 0180.c200.0006 STATIC    CPU
All 0180.c200.0007 STATIC    CPU
All 0180.c200.0008 STATIC    CPU
All 0180.c200.0009 STATIC    CPU
All 0180.c200.000a STATIC    CPU
All 0180.c200.000b STATIC    CPU
All 0180.c200.000c STATIC    CPU
All 0180.c200.000d STATIC    CPU
All 0180.c200.000e STATIC    CPU
All 0180.c200.000f STATIC    CPU
All 0180.c200.0010 STATIC    CPU
1 0002.a5eb.b1aa DYNAMIC    Fa0/2
1 0009.6b71.91e5 DYNAMIC    Fa0/25
1 000f.f81c.2000 DYNAMIC    Fa0/2
1 0013.468f.4d53 DYNAMIC    Fa0/21
1 0013.d35c.3cb0 DYNAMIC    Fa0/35
1 0013.d35c.3cb1 DYNAMIC    Fa0/37
1 0013.d3b5.447e DYNAMIC    Fa0/39
1 0016.17a1.3cce DYNAMIC    Fa0/31
1 0016.9d6f.0888 DYNAMIC    Fa0/2
1 0017.0853.7294 DYNAMIC    Fa0/19
1 0017.0853.7295 DYNAMIC    Fa0/17
1 0017.0853.7428 DYNAMIC    Fa0/15
1 0017.0853.7429 DYNAMIC    Fa0/13
1 0017.0853.7458 DYNAMIC    Fa0/9
1 0017.0853.7459 DYNAMIC    Fa0/11
1 0017.0856.cabc DYNAMIC    Fa0/7
1 0017.0856.cabd DYNAMIC    Fa0/5
1 001a.6427.b029 DYNAMIC    Fa0/2
1 001d.090b.d89c DYNAMIC    Fa0/27
1 0030.1e3b.9fd8 DYNAMIC    Fa0/2
为何有5条fa0/2？此口为上行口。是否说明上层交换机曾经换过口。
arp表
Internet  201.34.39.50       231 000f.f81c.2000  ARPA Vlan1
Internet  195.26.37.2          147 000f.f81c.2000  ARPA Vlan1
Internet  121.229.58.88       45 000f.f81c.2000  ARPA Vlan1
Internet  218.17.169.156       92 000f.f81c.2000  ARPA Vlan1
Internet  58.41.201.36       170 000f.f81c.2000  ARPA Vlan1
Internet  219.133.241.81       149 000f.f81c.2000  ARPA Vlan1
Internet  121.35.74.238       102 000f.f81c.2000  ARPA Vlan1
Internet  58.60.199.63          60 000f.f81c.2000  ARPA Vlan1
Internet  220.231.164.97       194 000f.f81c.2000  ARPA Vlan1
Internet  121.35.51.151       206 000f.f81c.2000  ARPA Vlan1
Internet  121.37.0.162       153 000f.f81c.2000  ARPA Vlan1
Internet  222.77.179.222       206 000f.f81c.2000  ARPA Vlan1
Internet  83.6.175.4          66 000f.f81c.2000  ARPA Vlan1
Internet  60.194.220.220       225 000f.f81c.2000  ARPA Vlan1
Internet  119.123.140.126    201 000f.f81c.2000  ARPA Vlan1
实在太多了，show的时候cpu占用率增加了2％

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

aredfox

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2009-03-11 10:59 |只看该作者

一直怀疑，机房耍无赖，我们明明是独享带宽，其实给的是共享。也曾经几次被同vlan下的人干扰。不知道能抓到别人的包，是否可以作为证据？如何避免？理论依据。请版主指点！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

8楼 [报告]

发表于 2009-03-11 11:05 |只看该作者

如果能够抓到非广播报文，而你又未做镜像的话，哪么说明交换机工作在非正常的状态。

你不用帖MAC表和ARP表了。你统计一下数目是否超过了机器的上限，特别是MAC地址表的数目。

还有也可能是硬件的问题，你可以尝试重启设备。不过要有心理准备，真是硬件问题的话，重启可能造成设备永久的起不来了。先准备好备件再做这个事情。