Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Объясните показания tcpdump arp  (Прочитано 13641 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Объясните показания tcpdump arp
« : 29 Января 2016, 17:07:01 »
Добрый день, поясните пожалуйста, что значат эти логи?

00:c0:df:13:e1:b8 - MAC шлюза
fc:aa:14:29:05:33 - MAC комп
eth3 - шлюз 192.168.0.1
комп - 192.168.0.31

sudo tcpdump -i eth3 -nnev arp or rarp | grep 192.168.0.31
16:53:57.399148 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:53:58.675145 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:53:59.674645 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:00.674646 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:01.698643 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:02.698650 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:03.698649 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:05.946648 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:06.443326 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 0.0.0.0, length 46
16:54:06.947149 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:07.441282 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 0.0.0.0, length 46
16:54:07.946644 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:08.448307 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 0.0.0.0, length 46
16:54:09.023144 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:09.478769 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.1 tell 192.168.0.31, length 46
16:54:09.494479 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.1 tell 192.168.0.31, length 46
16:54:09.510489 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.1 tell 192.168.0.31, length 46

проблема -  При включении комп1 нет пинга до шлюза, а если со шлюза пинговать комп1 - он начинает работать.

шлюз:
192.168.5.0/24 dev eth8  proto kernel  scope link  src 192.168.5.3
192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.1
default via 192.168.5.1 dev eth8

комп1
net 192.168.0.31
mask 255.255.255.0
gw 192.168.0.1
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #1 : 29 Января 2016, 17:28:08 »
Информации недостаточно. Вы работаете на Ethernet уровне. MAC и физическое наличие провода имеет значение. IP вторичен.
Начните сначала и расскажите всю разводку, что куда и как.
Лучше будет нарисовать, наверное.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #2 : 29 Января 2016, 20:45:43 »
схема такая


причем на компьютере с XP проблему замечаю реже.
т.е. если на win7 проблема проявляется всегда, если перезапустить сетевое подключение.
то на winxp эта проблема проявляется раза два в день.
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #3 : 29 Января 2016, 21:15:10 »
fc:aa:14:29:05:33 - MAC комп
комп - 192.168.0.31

Не стыкуется с

16:54:06.443326 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, Request who-has 192.168.0.31 tell 0.0.0.0, length 46

Как адреса в сети выдаются?…
Что выступает в качестве свича? Простой свич, или что-то иное?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #4 : 30 Января 2016, 10:37:25 »
fc:aa:14:29:05:33 - MAC комп
комп - 192.168.0.31

Не стыкуется с

16:54:06.443326 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, Request who-has 192.168.0.31 tell 0.0.0.0, length 46

вот именно поэтому и прошу объяснить...
arp -an
? (192.168.0.31) at fc:aa:14:29:05:33 [ether] on eth3

ifconfig
eth3      Link encap:Ethernet  HWaddr 00:c0:df:13:e1:b8 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2c0:dfff:fe13:e1b8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20935306 errors:2 dropped:34 overruns:1 frame:0
          TX packets:25412661 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:727368751 (727.3 MB)  TX bytes:2645988530 (2.6 GB)
          Interrupt:19 Base address:0xd100

сейчас ip адреса прописаны на всех комп.
свитч - d'link DGS-1024D

Цитировать
16:54:05.946648 00:c0:df:13:e1:b8 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 192.168.0.1, length 28
16:54:06.443326 fc:aa:14:29:05:33 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.31 tell 0.0.0.0, length 46

вот это вообще не понимаю
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #5 : 30 Января 2016, 14:28:32 »
Чего не понимаешь? Шлюз (00:c0:df:13:e1:b8) интересуется и мирового сообщества (ff:ff:ff:ff:ff:ff), кто тут такой есть 192.168.0.31, просит сообщать ответы на 192.168.0.1.
А вот почему этот же запрос кидает клиент - вопрос большой.

сейчас ip адреса прописаны на всех комп.
DHCP отменили?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #6 : 30 Января 2016, 18:56:42 »
не отменили, это другой вопрос.

почему шлюз не отвечает(минут так ~10), или комп не слышит ответа, пока не пингануть его со шлюза.
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #7 : 30 Января 2016, 19:05:57 »
А почему шлюз должен отвечать?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #8 : 30 Января 2016, 19:17:22 »
возможно я не верно выразился, допустим:

-включаю комп1
-обращаюсь к шлюзу (все равно как, подключением к службам запущенным на шлюзе, или пытаюсь выйти в интернет, или просто пинг до шлюза) - ответа нет.

разве он не должен ответить?
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #9 : 30 Января 2016, 19:18:27 »
Должен. Но я не вижу в ваших логах этого обращения.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #10 : 30 Января 2016, 19:33:43 »
а что должно быть и как посмотреть ?
эти логи делал так:
-выключил сетевое соединение на комп1.
-запустил tcpdump
-включил сеть на комп1
-запустил с комп1 яндекс.
-запустил пинг с комп1 на шлюз
-со шлюза запустил пинг на комп1
-в следующую секунду после пинга на комп1 запустился яндекс, пошел пинг до шлюза.
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #11 : 30 Января 2016, 19:45:47 »
1. Выключите клиент.
2. Удалите ARP запись о нём с сервера.
3. Запустите tcpdump -i eth3 'arp and ether host fc:aa:14:29:05:33'4. Включаете клиент.
5. Смотрите, что происходит.

Пользователь решил продолжить мысль 30 Января 2016, 19:54:00:
Вот кстати типичный обмен мнениями по теме:
Цитировать
#  tcpdump -ni eth0 'arp and ether host 90:2B:34:37:D8:E4'
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
19:53:52.061982 ARP, Request who-has 192.168.1.12 (02:00:00:00:00:01) tell 192.168.1.10, length 46
19:53:52.062007 ARP, Reply 192.168.1.12 is-at 02:00:00:00:00:01, length 28
« Последнее редактирование: 30 Января 2016, 19:55:08 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #12 : 01 Февраля 2016, 08:53:43 »
-перезагрузил комп1.
-очистил arp (apr -d 192.168.0.31)
-запустил tcpdump
вот вывод, отключил в момент, когда подключился интернет на комп1
192.168.5.247 - это тоже комп1, для доступа к видеосерверу optimus, которому в свою очередь нужен доступ к интернет.
192.168.0.30 - комп2 в сети, WINXP

tcpdump -i eth3 'arp and ether host fc:aa:14:29:05:33' > tcpdump.log
08:36:12.622195 ARP, Request who-has 192.168.0.31 tell 0.0.0.0, length 46
08:36:12.622206 ARP, Request who-has 192.168.5.247 tell 0.0.0.0, length 46
08:36:13.621340 ARP, Request who-has 192.168.0.31 tell 0.0.0.0, length 46
08:36:13.621356 ARP, Request who-has 192.168.5.247 tell 0.0.0.0, length 46
08:36:14.621302 ARP, Request who-has 192.168.0.31 tell 0.0.0.0, length 46
08:36:14.621313 ARP, Request who-has 192.168.5.247 tell 0.0.0.0, length 46
08:36:15.621304 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:15.621323 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:15.625000 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:15.625005 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:15.633766 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:15.633773 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:17.124043 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:17.124052 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:19.349402 ARP, Request who-has 192.168.0.30 tell 192.168.0.31, length 46
08:36:23.350495 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:23.350505 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:23.353109 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:23.353116 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:31.481341 ARP, Request who-has 192.168.0.31 tell 192.168.0.1, length 28
08:36:31.481441 ARP, Reply 192.168.0.31 is-at fc:aa:14:29:05:33 (oui Unknown), length 46
08:36:33.576602 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:33.576612 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:43.774908 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:43.774917 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:36:43.781519 ARP, Request who-has 192.168.0.1 tell 192.168.0.31, length 46
08:36:43.781526 ARP, Reply 192.168.0.1 is-at 00:c0:df:13:e1:b8 (oui Unknown), length 28
08:37:05.977336 ARP, Request who-has 192.168.0.31 tell 192.168.0.1, length 28
08:37:05.977415 ARP, Reply 192.168.0.31 is-at fc:aa:14:29:05:33 (oui Unknown), length 46

это заняло чуть меньше минуты, хотя с первого включение комп1 до появления на нем интернета, прошло больше 3х минут.
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Объясните показания tcpdump arp
« Ответ #13 : 01 Февраля 2016, 09:10:40 »
А 192.168.5.247 что за адрес?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Объясните показания tcpdump arp
« Ответ #14 : 01 Февраля 2016, 09:15:45 »
192.168.5.247 - это тоже комп1, для доступа к видеосерверу optimus, которому в свою очередь нужен доступ к интернет.

ipconfig
Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.31
   Маска подсети . . . . . . . . . . : 255.255.255.0
   IPv4-адрес. . . . . . . . . . . . : 192.168.5.247
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.1
« Последнее редактирование: 01 Февраля 2016, 09:19:47 от kostryukov »
у меня можно спросить=)

 

Страница сгенерирована за 0.073 секунд. Запросов: 25.