Цель сего действия ловля петель, да так чтобы не приходилось самому сидеть и мониторить трафик.
Хотелка: фильтрация пакетов с одинаковым идентификатором.
В wireshark`e такого фильтра не нашел, но может искал плохо, фильтры по одному конкретному id транзакции конечно там есть, но это надо в ручную смотреть сколько таких пакетов, а сколько с другим id и из каждого делать фильтр и.. ну вы поняли.
Знаю что на питоне можно писать парсеры с pcapy pypcap, и вроде как несложно совсем, но понятных для меня(кодер из меня так себе) мануалов не нашел, а из-того что нашел только разочаровался, ибо пришел к выводу, что можно только по протоколам фильтровать и то перечень их невелик. Хотелось бы верить что это неправильный вывод.
он включен, и есть подозрение что он хорошо работает, настолько хорошо, что похоже лупы все таки устраняет, но недавно в сеть подрядчиком были установлены свичи доступа к которым нет(только физически, проводки подёргать), после чего начали кратковременные(5-10 сек) провалы сети, отловить их пока не получается т.к. не всегда есть возможность их вообще заметить(думаю stp их ловит). Помимо всего прочего из свича в патч панель идут два кабеля которых в смете нет и разбирать пол, кабель каналы под полом, желания и возможности тоже нет, а просто высунуть и посмотреть кто из пользователей начнет кричать и материться - не буду, нельзя так делать, подключены системы которые должны нон-стоп работать.
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Хотелка: фильтрация пакетов с одинаковым идентификатором.
Что такое индентификатор у IP-пакета или ethernet-фрейма?
Валентин, Идентификатор IP пакета - Поле Идентификатор пакета (IDENTIFICATION) занимает 2 байта и используется для распознавания пакетов, образовавшихся путем фрагментации исходного пакета. Все фрагменты должны иметь одинаковое значение этого поля. (своими словами получилось что то вроде масло масляное поэтому скопировал с первого в выдаче сайта ссыль: citforum.ru/nets/ip/glava_4.shtml)
У езернет фрейма это непонял к чему спрашиваете, скорее Transaction ID - DHCP запросов использовал бы, только как эти данные вытянуть парсером?
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
VolkovDen, и что, вы хотите сделать фильтровалку в разрыв коммутаторов, которые будут удалять дублирующие пакеты? И как тогда работать с фрагментированными пакетами?
С петлями борются другими средствами - loopdetect и stp.
Валентин, я вам конечно же благодарен за отзывчивость но, вы видимо не поняли вопрос, он заключается не в том как бороться с петлями, и не в том как я хочу это сделать(или как надо, тем более что stp протоколы использую, и петли он ищет и по видимому довольно быстро лечит), а в том как, чем и где можно фильтровать пакеты и кадры по идентификаторам.
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
VolkovDen, так а что значит фильтровать? Блокировать на линке между коммутаторами или искать в собранном дампе?
Валентин, искать. ну или просто фильтрануть пакеты с одинаковым id и например сроком жизни меньше 10(просто по ttl фильтр ничего интересного мне не показал или я не увидел), и посмотреть куда эти пакеты ходили, и зачем. И все таки обрисую картину, зачем я это хочу. loop detected есть, работает, туда сюда ходят loop пакеты. Но после установки нового оборудования подрядчиком где совершенно непонятна коммутация(в смете одно на деле другое, а доступа к устройствам нет, паролей нет и вообще нихрена нет) начались 5-10 секундные провалы. свичи не пингуются, вот тут родилось предположение что где то образуется петля и быстро устраняется. Чтобы найти петлю надо знать чем она отличается от других пакетов\кадров, нужно отличительное свойство по которому можно определить что вот это петля а это нет. На мой взгляд это один пакет(со своим id) который ходит туда сюда по петле из порта в порт и соответственно его ttl становится все меньше и меньше. Поэтому хочу понять можно ли и как их фильтровать\парсить таким образом. Поправьте если неправ насчет признаков петли.
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
VolkovDen, для того, что вы хотите фильтровать, только кастомные скрипты, а это python+scapy. Видимо придется научиться немного скритовать, благо скрипты там примитивные будут.
Но после установки нового оборудования подрядчиком где совершенно непонятна коммутация(в смете одно на деле другое, а доступа к устройствам нет, паролей нет и вообще нихрена нет)
Значит после работы самому их прозвонить. Поотключать, лампочки посмотреть.
начались 5-10 секундные провалы. свичи не пингуются, вот тут родилось предположение что где то образуется петля и быстро устраняется
Вот вообще не факт. Это может коряво работать тот же loopdetect, может stp перестраиваться (рут там новый выбрался), может storm-control...
На мой взгляд это один пакет(со своим id) который ходит туда сюда по петле из порта в порт и соответственно его ttl становится все меньше и меньше
Может быть такое и есть, но 90% шторма - ARP запросы. В них нет ID. Кроме того, при перемещении пакетов между коммутаторами никаких ID не уменьшается.
Петли ищутся не так. Как правило ставится система мониторинга, и на ней смотрят загрузку на портах коммутаторов.
Какие петли вы хотите пресечь, l2 или l3? Если вы оперируете "пакет" значит l3, так вот сообщаю, что для защиты от петель l3-существует ttl. А поле Identification является уникальным (строго говоря) для каждого пакета (кроме тех что не пролезли в mtu). Короче, если говорить обычным языком - вы пытаетесь совместить соленое с белым.
Простой
