[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Hola, > Cuando tengo conectado esa maquina al un puerto del switch sin port > mirror y corro tcpdump, obviamente veo solamente el traifco que En principio desde la perspectiva de la maquina este caso y el de abajo son idénticos. > involucra a ese equipo, para escuchar todo lo demas, lo conecto al port > mirror y corro denuevo tcpdump para ver el trafico que recibe, ahora > tcpdump se queda mudo, no ve nada y al cancelarlo muestra un mensaje > imilar a: > > 45698 packets received > 45680 packets dropped by Kernel Y siendo que el único cambio lo hiciste en el switch, lo único que se me ocurre, por poco probable que sea es que tu switch esta corrompiendo paquetes cuando habilitas el port mirror y ya sea que tu tarjeta de red tenga validación por hardware y tire los paquetes desde ahí simplemente notificando al kernel que le llegan, o que lo haga alguno de los múltiples niveles de auditoría a redhat le encanta poner a sus kernels. Es lo mejor que se me ocurre, por improbable que sea. Pero si no tienes nada mas, puedes probar si este es el caso conectando la maquina de preferencia por un x-over o a través del switch sin port mirror habilitado a otra maquina e intentar capturar paquetes falsos o erróneos que puedes generar con programas como SendIP: http://www.earth.li/projectpurple/progs/sendip.html Saludos, Yuri.