El 2009-05-03 a las 09:59 +0200, Lluis Martínez escribió:
On Sunday 03 May 2009 00:46:51 Camaleón wrote:
Seguro que estas conectando en un hub o en una boca de mantenimiento? En caso contrario solo veras el broadcast
Si te refieres a un concentrador puro, no, estos son conmutadores, poco inteligentes pero conmutadores al fin y al cabo.
¿Pero el wireshark no captura todo el tráfico? Pues vaya }:-)
No puede capturarlo, por que fisicamente no esta en tu cable. El switch redirige y aisla,
Traigo nuevas, que no buenas :-P Al final he podido hacerme con un "hub-hub" (un concentrador real) mini que me dieron con el router adsl allá por el año de la parrala, y lo he podido capturar. Como esto ya es un poco OT, pongo en este correo sólo las cabeceras del resultado del wireshark y enlazo al log completo que he puesto en pastebin: *** No. Time Source Destination Protocol Info 60 2009-05-03 12:48:24.298838 192.168.0.13 Broadcast ARP Who has 192.168.0.5? Tell 192.168.0.13 No. Time Source Destination Protocol Info 61 2009-05-03 12:48:24.298855 Supermic_86:e8:c3 192.168.0.13 ARP 192.168.0.5 is at 00:30:48:86:e8:c3 No. Time Source Destination Protocol Info 62 2009-05-03 12:48:24.299835 172.16.0.30 192.168.0.5 TCP clp > netbios-ssn [SYN] Seq=0 Win=65535 Len=0 MSS=1460 No. Time Source Destination Protocol Info 63 2009-05-03 12:48:24.299841 192.168.0.5 172.16.0.30 TCP netbios-ssn > clp [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460 No. Time Source Destination Protocol Info 64 2009-05-03 12:48:24.340809 10.5.110.1 192.168.0.5 ICMP Destination unreachable (Communication administratively filtered) *** Y el registro completo, sin censura O:-), del diálogo que mantuvieron los acusados, el día D en la hora H. http://pastebin.com/m40172807 He resaltado las líneas de cabecera y las que me parecen interesantes, que es donde se produce el cambio de IP entre adaptadores, y otra, donde aparece en escena un nuevo personaje, que es CLP (Cisco Line Protocol) que no sé qué pinta aquí (todos los adaptadores de red que entran en juego son Intel gigabit -integrado en la placa- y Realtek gigabit -en slot pci-) :-? *** Reconstrucción hipotética de los hechos: El windows (192.168.0.13) eth0 pregunta por el equipo linux (192.168.0.5). El linux (192.168.0.13) le responde (192.168.0.13) El windows (¡¡¡pasa de 192.168.0.13 a 172.16.0.30!!!) le envía un "clp
netbios-ssn" vía TCP con puerto de origen "2567" al linux (192.168.0.5)
--> Cómo y porqué salta "de una interfaz a otra", es un misterio. --> Por qué usa ese protocolo de Cisco y envía un paquete netbios al linux es otro misterio. El linux (192.168.0.5) intenta responder al windows (172.16.0.30) por el mismo medio y al mismo lugar pero no llega y manda el paquete "por donde buenamente puede" (la puerta de enlace que es el router adsl con IP 192.168.0.59). Efectivamente, en el router también veo registrado ese evento. *** Si alguien tiene alguna hipótesis sobre el suceso acontencido, pues me puede enviar un correo en privado para no molestar más o bueno, ponerlo en la lista. Y si alguien sabe cómo podría eliminar ese registro del cortafuegos de suse que aparece cada 5 minutos, pues se agradece de veras. P.S. Gracias a Lluis por insistir con el wireshark (el-que-ve-lo-que-otros-no-ven) y el uso del hub-hub O:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org