Как посоветуете парсить tcpdump?

Question

[Талян]

В Влане с PPPoE'шниками из-за старых коммутаторов, где нет ACL (или если этот ACL тупо не включен) проскакивают пакеты совершенно разные. Их мало. Очень мало, но они мне не нравятся. Особенно после сегодняшнего шторма.

У меня несколько вопросов тем людям, кто с этим тесно работает.
1) какие типы ethernet кадров можно разрешать ПППоЕшникам на порту коммутатора доступа, кроме как 0x8663 и 0x8664? Им ARP'ы нужны? Я почему сомневаюсь - вроде как им ARP-запросы нужны, чтоб найти PPPoE концентратор.
2) есть ли готовый инструмент, чтобы искать и вылавливать всякие срачи в Vlan? Пример: поиск в выводе tcpdump одинаковых маков.

Просто в данный момент, чтобы найти откуда и с какого мака идет шторм, я открываю TCPDUMP в нудном влане, и начинаю бдительно всматриваться в дамп, ищя глазами одинаковые маки, иногда (при наличии подозрения) пользуюсь GREP'ом.

Может есть тут кто из провайдерских? Совет ваш хоть послушаю.

Вообще, чтобы поймать срущий мак вручную, мне хватит минут 10, но это же не красиво.

Comments

[hint000]

чтобы поймать срущий мак вручную, мне хватит минут 10, но это же не красиво

Эта фраза шикарно сюрреалистична, если её выдрать из контекста. Представил себе, как красные маки срут и убегают, срут и убегают. ;) В закладки, чтобы троллить людей, далёких от ИТ.

[Талян]

hint000, я тоже представил!) ахах

Answer 1

[jcmvbkbc]

есть ли готовый инструмент, чтобы искать и вылавливать всякие срачи

в iptraf есть режим LAN station monitor, там показывается сколько пакетов/байтов откуда приходит/уходит и можно отсортировать:

Им ARP'ы нужны? Я почему сомневаюсь - вроде как им ARP-запросы нужны, чтоб найти PPPoE концентратор.

RFC на протокол читал? Что понял?
Подсказка: ARP связывает MAC с IP. А PPPoE -- ни разу не IP.

Answer 2

[Рональд Макдональд]

Wireshark'у скормите.

Comments

[Талян]

да так то без проблем, Рональд. Таки делаю. Просто бывает такая ситуация, что я удаленно с телефона через GPRS - и еще и с ойфона. Мне там проще веб страничку открыть с показателями, чем в эмуляторе консоли что-то там мурыжить.

[Талян]

Например вот этот товарищ все че-то хочет и хочет, и сессия PPPoE у него идет, но его TP-Link срет в сеть. Вина - моя. Надо поставить фильтры. А какие?

Я делаю ACL на пропуск кадров 0x8663 и 0x8664, остальное - запрещаю. Абонент жалуется, что после разрыва сессии - не подключается. ARP разрешить? Или что?

[Талян]

[Рональд Макдональд]

Талян, ARP - необходимая вещь, зачем её банить-то?

[Талян]

Рональд Макдональд, при установке PPPoE сессии ARP реально нужны? Я думаю - да. А как еще оборудование клиента найдет мак концентратора, куда слать PPPoE?
Я у профессионалов тут решил просто уточнить.

[Руслан Федосеев]

Причем тут ARP ??????
Марш читать SDSM до понимания....

[Талян]

Руслан Федосеев, а как клиент без ARP-запроса узнает, как обращаться к PPPoE концентратору?

SDSM - что-то я не помню, что там подымалась тема о том, какие типы кадров надо пропускать для поднятия PPPoE сессии.

[jcmvbkbc]

как клиент без ARP-запроса узнает, как обращаться к PPPoE концентратору?

Ethernet-броадкастом. https://tools.ietf.org/html/rfc2516#section-5
У концентратора на клиентском интерфейсе может вообще не быть поддержки IP.

[Руслан Федосеев]

все смешалось в доме облонских....
Причем тут arp и pppoe ? Если у меня ваще нет ipv4 на порту - pppoe работать не будет что ли?

Answer 3

[Валентин]

Из провайдеров есть, но фильтрацию ARPа не видел ни разу. От штормов придумана куча техник:
1) шторм контроли
2) отдельный влан на каждый порт
3) ограничение количества маков на порту
4) люпдетект и т. д.
5) порт-изолейт
Где-то на наге были даже темы-рекомендации настроек на порту.

Comments

[Талян]

Спасибо. Как раз на наге недавно зарегился. Но правда вопрос не в том, где находится объяснение PPPoE, а вопрос - что именно там гуляет.

Читать RFC - могу. Но попросил помощи тут, так как в то же время я читаю параллельно столько инфы - что мне и не снилось.

Может кто появится тут, кто сможет написать тупо в одну строчку пару типов кадров, и не отправит читать и гуглить.

Я же кому-то тут так же помогаю.
На то и есть тостер.