[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Yuri Vasilevski wrote:
Pues probe con un sniffer en una maquina windows y ahi si podía ver el tráfico del port mirror, se me hace muy extraño no poder verlo en la caja linux.Hola,Cuando tengo conectado esa maquina al un puerto del switch sin port mirror y corro tcpdump, obviamente veo solamente el traifco queEn principio desde la perspectiva de la maquina este caso y el de abajo son idénticos.involucra a ese equipo, para escuchar todo lo demas, lo conecto al port mirror y corro denuevo tcpdump para ver el trafico que recibe, ahora tcpdump se queda mudo, no ve nada y al cancelarlo muestra un mensaje imilar a:45698 packets received 45680 packets dropped by KernelY siendo que el único cambio lo hiciste en el switch, lo único que se me ocurre, por poco probable que sea es que tu switch esta corrompiendo paquetes cuando habilitas el port mirror y ya sea que tu tarjeta de red tenga validación por hardware y tire los paquetes desde ahí simplemente notificando al kernel que le llegan, o que lo haga alguno de los múltiples niveles de auditoría a redhat le encanta poner a sus kernels.
Es lo mejor que se me ocurre, por improbable que sea. Pero si no tienes nada mas, puedes probar si este es el caso conectando la maquina de preferencia por un x-over o a través del switch sin port mirror habilitado a otra maquina e intentar capturar paquetes falsos o erróneos que puedes generar con programas como SendIP: http://www.earth.li/projectpurple/progs/sendip.html Saludos, Yuri. _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
-- Saludos ------------------------------ Javier Reyna Padilla Depto. de Seguridad Onlinet S.A. de C.V. Oficina: 5586-2613 Ext: 112 Cel: 04455-19236928 http://www.onlinet.com.mx ------------------------------