Forum Debian Users Gang

Genzyp · 2007-06-12 12:50:11

Jak mam rozumieć taki log z serwera:

Jun 12 12:14:30 localhost kernel: INPUT_ETH0: IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:16:b6:df:72:d2:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2

znalazłem jeszcze takie:

NPUT_ETH1: IN=eth1 OUT= MAC=00:40:f4:45:3e:83:00:30:05:af:a9:a5:08:00 SRC=192.168.0.14 DST=192.168.0.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=44322 DF PROTO=TCP SPT=1796 DPT=5995 WINDOW=65535 RES=0x00 SYN URGP=0

NIC · 2007-06-12 13:55:29

Szczerze powiedziawszy to nie wiem, ale wygląda to na informacje o przychodzących pakietach, konkretnie informacje wyciągnięte z nagłówka pakietu. Jeśli ktoś Cię spinguje to winno się też dodać...

Libo · 2007-06-12 14:56:58

Szczerze powiedziawszy to nie wiem, ale wygląda to na informacje o przychodzących pakietach, konkretnie informacje wyciągnięte z nagłówka pakietu. Jeśli ktoś Cię spinguje to winno się też dodać...

nie chce byc nieuprzejmy ale sorko nie wiesz to po co odpisujesz na posta ?? tylko zasmiecasz temat

a wracajac do pytania autora
najprawdopodobnie twój firewall zawieraj regoly ktore logują niektory typy pakietów, jakie ?? to zalezy jak wyglada regola
( wydaje sie ze logowanie sa wszystkich zdropowane pakiety )
jak masz to rozumiec ?? mianowicie tak ( dla 1 przykladu)
został zalogowany pakiet, ktorego :
komentarz jest "INPUT_ETH0",
wejściowy interfejs = eth0,
wysciowy interfejs = _żaden_ ( dlaczego, zrozumiesz potem)
nagłowek MAC={mac_adres_zrodlowy}:{mac_adres_docelowy}:{protokół} (08:00 - IP)
adres zrodlowy ip SRC pakietu,
adres docelowy ip DST pakietu,
długość pakietu LEN (w bajtach),
"typ usługi" TOS - raczej maloistotne pole, uzywane bardziej przez protokoły routingu jak OSPF, ktore określaja jakmi drogami posylac pakiet, itd.
PREC - również sporadycznie uzywane
TTL- pole time to live, czas zycia pakietu, najprawdopodobniej to jest przyczyna dla czego pakiet został zalogowany i dla czego nie ma w logach informacji na temat interfejsu OUT. pakiet dalej nie moze krazyc po sieci "umiera". ( TTL =1 oznacz ze serwer byl ostatnim mozliwym hopem pakietu )
ID - identyfikator pakietu
DF - flaga fragmentacji Don't Fragment
PROTO= typ protokolu jaki jest enkapsulowany TCP, UDP itp

dla 2 przykladu dochodza jeszcze
port zrodłowy
port docelowy
WINDOW - wielkość okna tcp
RES - bity zarezerwowane
flagi TCP ( SYN)
URGP - wskaźnik "nagłości"

ps. dokladne informacje na temat pol oczywiscie znajdziesz na google

Genzyp · 2007-06-13 08:11:13

dzieki za info. Zastanawia mnie w pierwszym przypadku jaki maja sens te pakiety ( a jest ich troche), bo wysyła je router sprzętowy.
A w drugim przypadku odnosnie SYN :

Flagi 3 bity dotyczące fragmentacji:

pierwszy jest nie używany i musi być zerem;
jeśli drugi jest ustawiony, to pakiet nie może ulec fragmentacji;
jeśli ustawiony jest trzeci oznacza to, że pakiet jest ostatnim fragmentem pewnego datagramu;

czy znaczy to że pakiet nie ma ustawionej flagi?

Libo · 2007-06-13 11:39:32

DF - jest flaga nagłówka/protokołu ip, a SYN dotyczy TCP wiec nie rozumiem o co pytasz ??
jak sie dobrze przyjrzysz to zuwazysz, ze w 2 przypdku jest ustawiona i flaga DF ( dla ip) i SYN ( dla TCP)

a co do

... w pierwszym przypadku jaki maja sens te pakiety...

to zachecam do samodzielnej pracy i "poszperania", dla ułatwienia podpowiem ci ze jest to pakiet protokołu IGMP, wysyłany na adres multicastowy 224.0.0.1, typu host membership query...

Forum Debian Users Gang

Ogłoszenie

#1 2007-06-12 12:50:11

Genzyp - Użytkownik

kto mi wyjasni log

#2 2007-06-12 13:55:29

NIC - Członek DUG

Re: kto mi wyjasni log

#3 2007-06-12 14:56:58

Libo - Użytkownik

Re: kto mi wyjasni log

#4 2007-06-13 08:11:13

Genzyp - Użytkownik

Re: kto mi wyjasni log

#5 2007-06-13 11:39:32

Libo - Użytkownik

Re: kto mi wyjasni log

Stopka forum