Le Tue, Jul 28, 2015 at 12:14:46PM +0200, jehan procaccia INT [jehan.procac...@int-evry.fr] a écrit: > J'ai finit par mettre une ACL qui filtre tout 192.168 .0.0/24 > malheureusement cela passe toujours ! :-( > et pour cause, je pensais avoir identifié l'interface source sur mon > 6500 , or je m???aperçois que l'adresse MAC identifié comme source > du pb est affectée a plusieurs interfaces du 6500 !? > > rappel de type de capture du synflood : > > 11:56:50.943052 *10:bd:18:e4:80:80* > 00:07:7d:33:9f:00, ethertype > 802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, > ttl 121, id 13137, offset 0, flags [DF], proto TCP (6), length 48) > *192.168.1.101*.4007 > 119.28.3.29.80: Flags [S], cksum 0x7576 > (correct), seq 2748456345, win 65535, options [mss > 1460,nop,nop,sackOK], length 0 > > La MAC est donc *10:bd:18:e4:80:80
Mais ça, c'est (si j'ai bien compris) ce que tu captures *APRES* ton 6500, qui doit effectuer du routage, et c'est donc son adresse MAC que tu vois. [...] > *je crois que j'ai trop la tête dans le guidon sur cette affaire ... > j'ai oublié une évidence ? ce sont des MAC adresse d'interface cisco > virtuelle ? vlan ? j'ai du HSRP , peut-etre un effet de bord ....? > bref avez vous une piste pour retrouver l'interface source de ce trafic !? Ce qu'il faudrait, c'est réussir à identifier la source *AVANT* le 6500. As-tu moyen de placer de quoi faire un tcpdump sur les "entrées" de ton 6500 ? -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
