/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
netværk pakke sniffer
Fra : Bjarke Hansen


Dato : 25-05-05 21:11

Hejsa

Jeg har downloadet etherreal, men hvordan er det man for den til at vise
pakker realtime? jeg kan lave en capture, og så har jeg et vindue med antal
pakker osv.. men synes jeg tidligere kunne se pakkerne live?

Er lige kommet på stort comX lokalnetværk, og på 45skunder blev der modtaget
18.000 UDP pakker, som jeg ikke ved hvad er for noget.. og selvom jeg har
installeret zonealarm kommer det igennem.

jo og så mangler jeg det gode gamle program fra Intel der kan fortælle
status for Intels Netkort ændre instillingert osv, nogen der ved hvor man
kan downloade det?

Mvh. Bjarke



 
 
Asbjorn Hojmark (25-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 25-05-05 22:34

On Wed, 25 May 2005 22:11:20 +0200, "Bjarke Hansen"
<bjarke_hansen@*REMOVE.*spamfilter.dk> wrote:

> Jeg har downloadet etherreal, men hvordan er det man for den til at vise
> pakker realtime? jeg kan lave en capture, og så har jeg et vindue med antal
> pakker osv.. men synes jeg tidligere kunne se pakkerne live?

Når du laver Capture | Start, sættes det under Display Options.

> Er lige kommet på stort comX lokalnetværk, og på 45skunder blev der modtaget
> 18.000 UDP pakker, som jeg ikke ved hvad er for noget.. og selvom jeg har
> installeret zonealarm kommer det igennem.

Hvad mener du med, at 'det kommer igennem'?

> jo og så mangler jeg det gode gamle program fra Intel der kan fortælle
> status for Intels Netkort ændre instillingert osv, nogen der ved hvor man
> kan downloade det?

www.intel.com er et godt bud. Gå ind under Support | Networking, find
din adapter og se under Software & Drivers. Det er virkelig ikke så
svært at finde.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Jakob Nielsen (25-05-2005)
Kommentar
Fra : Jakob Nielsen


Dato : 25-05-05 22:57

>> Er lige kommet på stort comX lokalnetværk, og på 45skunder blev der
>> modtaget
>> 18.000 UDP pakker, som jeg ikke ved hvad er for noget.. og selvom jeg har
>> installeret zonealarm kommer det igennem.
>
> Hvad mener du med, at 'det kommer igennem'?

Dit kort er nok sat op til at snuppe alle pakke uanset hvilken mac, pakken
er til.
Det kaldes promiscious (sådan ca. stavning) mode, og betyder kort sagt at
kortet modtager alt.
Jeg antager at zone alarm ikke forholder sig til ting på transport-niveau



Asbjorn Hojmark (26-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-05-05 06:06

On Wed, 25 May 2005 23:56:36 +0200, "Jakob Nielsen" <a@b.c> wrote:

>>> Er lige kommet på stort comX lokalnetværk, og på 45skunder blev der
>>> modtaget 18.000 UDP pakker, som jeg ikke ved hvad er for noget..
>>> og selvom jeg har installeret zonealarm kommer det igennem.

>> Hvad mener du med, at 'det kommer igennem'?

> Dit kort er nok sat op til at snuppe alle pakke uanset hvilken mac,
> pakken er til.

Er det mit netkort, du snakker om, eller fandt du bare et tilfældigt
indlæg at svare på?

> Det kaldes promiscious (sådan ca. stavning) mode, og betyder kort
> sagt at kortet modtager alt.

Ja, men kortet kan (uanset om det er i promiscuous mode eller ej) ikke
modtage trafik, der ikke kommer forbi det.

Hvis det er 18.000 pakker på 45s (altså 400 pps), der er broadcastet,
multicasted eller unicast flooded (faktisk ikke sendt til OPs pc), så
tyder det på et meget dårligt netværksdesign.

I øvrigt er det normalen, at man kører promiscuous mode, når man laver
et sniffer-trace. Man kan ikke bruge trace'et til ret meget, hvis man
ikke gør det.

> Jeg antager at zone alarm ikke forholder sig til ting på transport-
> niveau

Jeg tror også, Ethereal kommer ind under ZoneAlarm.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Stig Johansen (26-05-2005)
Kommentar
Fra : Stig Johansen


Dato : 26-05-05 06:30

Asbjorn Hojmark wrote:

> Jeg tror også, Ethereal kommer ind under ZoneAlarm.

Undskyld, jeg bryder ind, men af hensyn til knap så kyndige læsere, går jeg
ud fra, du mener:
Jeg tror også, at Ethereal modtager pakkerne før ZoneAlarm.

--
Med venlig hilsen
Stig Johansen

Asbjorn Hojmark (26-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-05-05 07:51

On Thu, 26 May 2005 07:29:43 +0200, Stig Johansen
<stig_johansen_it_at_=(@)hotmail.com> wrote:

>> Jeg tror også, Ethereal kommer ind under ZoneAlarm.

> Undskyld, jeg bryder ind, men af hensyn til knap så kyndige læsere,
> går jeg ud fra, du mener:
> Jeg tror også, at Ethereal modtager pakkerne før ZoneAlarm.

Ja, jeg tænkte i nedenunder i protokolstakken.

-A

Martin Damberg (26-05-2005)
Kommentar
Fra : Martin Damberg


Dato : 26-05-05 09:48

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:eesa91hv9lpsfpc6379466p2n8rcb4emf6@news.sunsite.dk...
> On Thu, 26 May 2005 07:29:43 +0200, Stig Johansen
> <stig_johansen_it_at_=(@)hotmail.com> wrote:
>
> >> Jeg tror også, Ethereal kommer ind under ZoneAlarm.
>
> > Undskyld, jeg bryder ind, men af hensyn til knap så kyndige læsere,
> > går jeg ud fra, du mener:
> > Jeg tror også, at Ethereal modtager pakkerne før ZoneAlarm.
>
> Ja, jeg tænkte i nedenunder i protokolstakken.
>
> -A

interessant artikel omkring sniffer samt software firewall's
at pcap æder pakkerne før software firewall

http://www.securityfocus.com/infocus/1831

mvh

Martin Damberg



Asbjorn Hojmark (26-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-05-05 09:53

On Thu, 26 May 2005 10:47:44 +0200, "Martin Damberg"
<martin.damberg@atfjerne.uni-c.dk> wrote:

> http://www.securityfocus.com/infocus/1831

Ah UI.

Tak,
-A

Jakob Nielsen (26-05-2005)
Kommentar
Fra : Jakob Nielsen


Dato : 26-05-05 06:59

>> Dit kort er nok sat op til at snuppe alle pakke uanset hvilken mac,
>> pakken er til.
>
> Er det mit netkort, du snakker om, eller fandt du bare et tilfældigt
> indlæg at svare på?

Nej, det er sådan set ikke dit kort, men OP's kort. Jeg fik blandet et svar
lidt sammen. OP's med at pakkerne kommer til ham og dit med hvad han mener
med "igennem".


> Ja, men kortet kan (uanset om det er i promiscuous mode eller ej) ikke
> modtage trafik, der ikke kommer forbi det.

Nej, naturligvis kan det ikke modtage data som ikke kommer på den lokale
ether (det er vel ethernet?). OP skriver dog at det skete, så man må vel
antage at data faktisk kom forbi.

> Hvis det er 18.000 pakker på 45s (altså 400 pps), der er broadcastet,
> multicasted eller unicast flooded (faktisk ikke sendt til OPs pc), så
> tyder det på et meget dårligt netværksdesign.

Det virker meget voldsomt. Jeg har dog hørt om boligforeninger (comX leverer
net til den slags) hvor rigtig mange lejligheder var knyttet sammen på samme
stump net., så hvis vi antager at det er et sted med en masse iptelefoni,
streaming tv og computerspil, så er det måske ikke helt usansynligt med så
meget udp. Det er dog også sikkerhedsmæssigt et underligt design, da en gang
pakkesnifning kan se ikke så lidt om de andre beboere.

> I øvrigt er det normalen, at man kører promiscuous mode, når man laver
> et sniffer-trace. Man kan ikke bruge trace'et til ret meget, hvis man
> ikke gør det.

Det er jeg klar over. Man kan nu godt bruge det alligevel, men så kun for
trafik der faktisk vedrører ens egen maskine.



Asbjorn Hojmark (26-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-05-05 07:55

On Thu, 26 May 2005 07:58:37 +0200, "Jakob Nielsen" <a@b.c> wrote:

>> Ja, men kortet kan (uanset om det er i promiscuous mode eller ej) ikke
>> modtage trafik, der ikke kommer forbi det.

> Nej, naturligvis kan det ikke modtage data som ikke kommer på den lokale
> ether (det er vel ethernet?). OP skriver dog at det skete, så man må vel
> antage at data faktisk kom forbi.

Det kunne jo være data addresseret direkte til OPs maskine, og så skal
det jo li'som derhen. Men hvis det ikke er data til OPs maskine, så er
det som sagt IMO dårligt netværksdesign.

> Det virker meget voldsomt. Jeg har dog hørt om boligforeninger (comX
> leverer net til den slags) hvor rigtig mange lejligheder var knyttet
> sammen på samme stump net.

Altså på samme broadcast-domæne / subnet? Hvor mange "rigtig mange"?

> Det er dog også sikkerhedsmæssigt et underligt design, da en gang
> pakkesnifning kan se ikke så lidt om de andre beboere.

Som sagt kan man (normalt) kun broadcast og multicast og ingen af
delene bruges normalt til noget særlig følsomt (af åbenlyse grunde).

-A

Jakob Nielsen (26-05-2005)
Kommentar
Fra : Jakob Nielsen


Dato : 26-05-05 08:05

> Det kunne jo være data addresseret direkte til OPs maskine, og så skal
> det jo li'som derhen. Men hvis det ikke er data til OPs maskine, så er
> det som sagt IMO dårligt netværksdesign.

Hvis OP ikke ved hvad det er for en masse pakker, så er de nok ikek til ham.
Med mindre han ikke er opmærksom på hvad der sendes til ham. Det er også
dårligt design, som jeg ser det, hvis det er fordi mange brugere er på samme
ether.

> Altså på samme broadcast-domæne / subnet? Hvor mange "rigtig mange"?

En hel blok hvor der vel var knap 100 lejligheder. Det er stadig meget
trafik, men kun for gennemsnitsbrugere. Hvis det er et kollegium, så tror
jeg at trafikmængden er væsentligt over gennemsnit.

> Som sagt kan man (normalt) kun broadcast og multicast og ingen af
> delene bruges normalt til noget særlig følsomt (af åbenlyse grunde).

Nej, det er selvfølgelig rigtigt. Tænkte på hubs og ikke switches. Donno
why.

Man må ved bede OP beskrive de pakker lidt nærmere. Var de fra samme
afsender, var de til same modtager, var den modtager OP?



Asbjorn Hojmark (26-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-05-05 08:34

On Thu, 26 May 2005 09:04:41 +0200, "Jakob Nielsen" <a@b.c> wrote:

>> Altså på samme broadcast-domæne / subnet? Hvor mange "rigtig mange"?

> En hel blok hvor der vel var knap 100 lejligheder.

Det er ikke sådan "rigtig mange" for et broadcast-domæne, selv hvis
det er relativt tunge brugere. Og det ville ikke forklare 400 pps
broadcasts.

Nu ved vi selvfølgelig ikke, hvor stort et net OP sidder på, men 400
pps over 45 sek lyder som en en decideret fejlsituation. Der er nok en
eller et par af de nærmeste maskiner, der er inficeret...

-A

Bjarke Hansen (26-05-2005)
Kommentar
Fra : Bjarke Hansen


Dato : 26-05-05 15:58

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:1qua91p516q2360if2t9m8ejv82iicn3gk@news.sunsite.dk...
> On Thu, 26 May 2005 09:04:41 +0200, "Jakob Nielsen" <a@b.c> wrote:
>
>>> Altså på samme broadcast-domæne / subnet? Hvor mange "rigtig mange"?
>
>> En hel blok hvor der vel var knap 100 lejligheder.
>
> Det er ikke sådan "rigtig mange" for et broadcast-domæne, selv hvis
> det er relativt tunge brugere. Og det ville ikke forklare 400 pps
> broadcasts.

Her er vi knap 1100. det er dog langt fra alle der er Online endnu!

der sidder en fiberswitch som fordeler ud til 14 andre blokke hvor der så
igen sidder 2-3switche

>
> Nu ved vi selvfølgelig ikke, hvor stort et net OP sidder på, men 400
> pps over 45 sek lyder som en en decideret fejlsituation. Der er nok en
> eller et par af de nærmeste maskiner, der er inficeret...

ja det var helt sinsygt...
efter 2 timer, 11min og 51 sekunder kom den op på 1796035UDP pakker

Nuher ser det til det er stoppet.. sendte også en mail om det igår.
Nu er der total 0 pakker på 45sekunder!



Bjarke Hansen (26-05-2005)
Kommentar
Fra : Bjarke Hansen


Dato : 26-05-05 16:00

"Bjarke Hansen" <bjarke_hansen@*REMOVE.*spamfilter.dk> wrote in message
news:nulle.3511$Qq6.2604@news.get2net.dk...

> Nuher ser det til det er stoppet.. sendte også en mail om det igår.
> Nu er der total 0 pakker på 45sekunder!

hmm pakker ikke.... måtte lukke lortet igår da det tog hundrede år at loalde
de 500MB med pakkedata... og nu kan den ikke se mit netkort.. så det med de
0pakker passede så ikke lige.



Jakob Nielsen (26-05-2005)
Kommentar
Fra : Jakob Nielsen


Dato : 26-05-05 17:31

> efter 2 timer, 11min og 51 sekunder kom den op på 1796035UDP pakker

Så du hvem de pakker var til og fra?



Asbjorn Hojmark (26-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-05-05 20:51

On Thu, 26 May 2005 16:58:24 +0200, "Bjarke Hansen"
<bjarke_hansen@*REMOVE.*spamfilter.dk> wrote:

> Her er vi knap 1100. det er dog langt fra alle der er Online endnu!

Er de 1100 på samme subnet?
Formentlig ikke.

> der sidder en fiberswitch som fordeler ud til 14 andre blokke hvor
> der så igen sidder 2-3switche

Så router 'fiberswitchen' sikkert mellem forskellige subnet.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Lasse Jarlskov (30-05-2005)
Kommentar
Fra : Lasse Jarlskov


Dato : 30-05-05 08:47

On Thu, 26 May 2005 21:50:57 +0200, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>Er de 1100 på samme subnet?
>Formentlig ikke.

Det er set før...


/Jarlskov

Bjarke Hansen (27-05-2005)
Kommentar
Fra : Bjarke Hansen


Dato : 27-05-05 00:09

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:nhr991tc5nhk6738cpreftb5mg1op4so64@news.cybercity.dk...

> www.intel.com er et godt bud. Gå ind under Support | Networking, find
> din adapter og se under Software & Drivers. Det er virkelig ikke så
> svært at finde.

Der´har jeg selvfølgelig kigget..... men kan ikke finde det.. der er godtnok
nogen menuer for software osv.. men kan ikke finde det program der heder
noget med Pro2... det kan fx teste kabel. se status for antal sendte pakker,
fejlpakker osv.



Asbjorn Hojmark (27-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 27-05-05 05:55

On Fri, 27 May 2005 01:09:22 +0200, "Bjarke Hansen"
<bjarke_hansen@*REMOVE.*spamfilter.dk> wrote:

>> www.intel.com er et godt bud. Gå ind under Support | Networking, find
>> din adapter og se under Software & Drivers. Det er virkelig ikke så
>> svært at finde.

> Der´har jeg selvfølgelig kigget..... men kan ikke finde det..

Hvilken adapter har du og hvilket OS kører du?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Bjarke Hansen (27-05-2005)
Kommentar
Fra : Bjarke Hansen


Dato : 27-05-05 09:28

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:30ad91p8ctuv0kac5dpl75b5jpmi8c73aa@news.cybercity.dk...
> On Fri, 27 May 2005 01:09:22 +0200, "Bjarke Hansen"
> <bjarke_hansen@*REMOVE.*spamfilter.dk> wrote:
>
>>> www.intel.com er et godt bud. Gå ind under Support | Networking, find
>>> din adapter og se under Software & Drivers. Det er virkelig ikke så
>>> svært at finde.
>
>> Der´har jeg selvfølgelig kigget..... men kan ikke finde det..
>
> Hvilken adapter har du og hvilket OS kører du?
>

Intel Pro 1000CT på windows XP
det der program fuldte vist opringeligt med mit intel pro 100S kort.



Asbjorn Hojmark (27-05-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 27-05-05 10:36

On Fri, 27 May 2005 10:28:09 +0200, "Bjarke Hansen"
<bjarke_hansen@*REMOVE.*spamfilter.dk> wrote:

> Intel Pro 1000CT på windows XP

www.intel.com | Support & Downloads | Networking & Communications |
Adapters | Intel PRO/1000 Adapters | Intel PRO/1000 CT Network
Connection siger:

"It is only sold by original equipment manufacturers and is typically
integrated into the computer system. For support, software drivers and
warranty concerns, please contact the vendor from which you purchased
the computer containing the Intel® PRO/1000 CT Network Connection."

Du kan dog bare bruge softwaren til et almindeligt PRO/1000 (altså
PRO2KXP).

Var det så svært?

-A

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408928
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste