Le 28/07/2015 15:05, Dominique Rousseau a écrit :
Le Tue, Jul 28, 2015 at 02:58:45PM +0200, jehan procaccia INT
[jehan.procac...@int-evry.fr] a écrit:
c'est ce que je capture en faisant un port mirroring (session
monitor en termes cisco) sur l'interface que je suspectais
donc pas vraiment "apres" mon 6500 , mais plutôt dedans .
Si c'est sur l'interface de sortie, vers ton ASR, c'est du "apres".
OK, c'est effectivement APRES, donc la MAC capturée doit correspondre a
l'adresse MAC de mon interface de sortie normalement, ici le Giga 2/21
(la G2/16 etant la destination du port mirroring où se trouve mon
PC/TCPDUMP)
6509E-B007#show monitor
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi2/21
Destination Ports : Gi2/16
6509E-B007#show interface g 2/21 | include line | address
GigabitEthernet2/21 is up, line protocol is up (connected)
Hardware is C6k 1000Mb 802.3, address is 001f.6ca4.b194 (bia
001f.6ca4.b194)
or, voici le rappel de type de capture du synflood :
11:56:50.943052 *10:bd:18:e4:80:80* > 00:07:7d:33:9f:00, ethertype
802.1Q (0x8100), length 66: vlan 8, p 0, ethertype IPv4, (tos 0x0, ttl
121, id 13137, offset 0, flags [DF], proto TCP (6), length 48)
192.168.1.101.4007 > 119.28.3.29.80: Flags [S], cksum 0x7576 (correct),
seq 2748456345, win 65535, options [mss 1460,nop,nop,sackOK], length 0
la mac 10:bd:18:e4:80:80 n'est pas celle de l'interface g 2/21
(001f.6ca4.b194) mais celle de de la giga 2/22 (reseau downlink vers
"clients" )
6509E-B007#show interfaces gigabitEthernet 2/22
GigabitEthernet2/22 is up, line protocol is up (connected)
Hardware is C6k 1000Mb 802.3, address is *10bd.18e4.8080* (bia
10bd.18e4.8080)
Helas, comme plein d'interfaces sur mon 6500 ont aussi la MAC
*10bd.18e4.8080 *je ne suis pas avancé pour identifier l'interface
source du syn flood .
Ceci s'explique apparement d'apres la judicieuse remarque de David Ponzone
Le 28/07/2015 14:55, David Ponzone a écrit :
> C’est étrange en effet, mais lis ça, ca explique peut-être le truc:
>
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6000-series-switches/41263-catmac-41263.html
effectivement à la lecture de cette doc il semble "normal" qu'il y a la
meme MAC sur +sieurs Interfaces et on ne peut pas y faire grand chose :-(
"As a result, you cannot have a unique MAC address per interface. This
is a hardware limitation of the Supervisor Engine II and will not be
fixed in a future software release. "
je suis en Sup2T , je ne sais pas si cette limitation Sup engine II
correspond ... mais je constate bien ce pb .
Bref, il n'est vraiment pas évident de pister un flux sur ces
équipements, il faudrait presque pouvoir éteindre une a une les
interfaces au moment du flood, mais avec +128 interfaces et des flood
sporadiques qui ne durent que qq minutes, ce n'est vraiment pas facile .
avec 2 cartes 48 ports 1G et 1 carte 16 * 10G cela ne va pas etre
facile de faire du port mirroring sur chaque port !
[...]
avez vous une idée pour identifier l'interface source de mon 6500
qui génère ce trafic.
Vu le nombre de ports que tu indiques, il y'en a où ton 6500 fait du
switching, et d'autres où il route, je suppose.
Si tu te limites aux ports qui font du routage, ça te donne quoi ?
Ils routent quasiment tous, j'ai un uplink vers l'ASR puis operateurs,
et un downlink vers un reseau "client", le reste c'est mon LAN de campus
avec une dizaine de batiments en Fibre et et une dizaine de switch
directement raccordés en 1G et 10G dans le datacenter qui font usage
d'interfaces switchport cuivre mais toutes ratachées a des interfaces
vlan qui routent .
plus théoriquement, je m'interroge toujours sur la source du flood ?!
comment des paquets (forgés probablement) avec une src en 192.168.1.101
peuvent t-il aboutir sur mon coeur de reseau alors que je n'ai pas de
gateway ni de route pour ce reseau 192.168.1.0/24 !?
peut-être qu'une réponse a cette question m'aiguillera sur une piste
plus prometteuse .
Merci .
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
