Почему в tcpdump видно пакеты на предназначены хосту?

Question

[perrfect]

Добрый день.
Помогите разобраться со следующей ситуацией.
Есть старые mysql-сервера, которые нужно вывести со строя. Все реплики, базы были перенесены на новые сервера.
Решил проверить нет ли трафика на порту 3306 на старых серверах, с помощью tcpdump, и увидел, что все же есть некие запросы, но они не имеют отношения к хосту на котором запускается dump.
Почему эти пакеты появляются?

Хост на котором запускаю dump (старый сервер mysq) - mysql-1.old.net
Новый сервер mysql - mysql-1.new.net
Веб-сервер в сети - web.net

Вижу на нем пакеты:

07:19:48.068340 IP web.net.53882 > mysql-1.new.net.mysql: Flags [S], seq 1214662755, win 29200, options [mss 1460,sackOK,TS val 2238065250 ecr 0,nop,wscale 7], length 0
07:19:48.068419 IP web.net.53882 > mysql-1.new.net.mysql: Flags [.], ack 3459238890, win 229, options [nop,nop,TS val 2238065250 ecr 911603802], length 0
07:19:48.068671 IP web.net.53882 > mysql-1.new.net.mysql: Flags [.], ack 86, win 229, options [nop,nop,TS val 2238065250 ecr 911603802], length 0
07:19:48.068684 IP web.net.53882 > mysql-1.new.net.mysql: Flags [P.], seq 0:105, ack 86, win 229, options [nop,nop,TS val 2238065250 ecr 911603802], length 105
07:19:48.069074 IP web.net.53882 > mysql-1.new.net.mysql: Flags [P.], seq 105:126, ack 97, win 229, options [nop,nop,TS val 2238065251 ecr 911603803], length 21
07:19:48.069352 IP web.net.53882 > mysql-1.new.net.mysql: Flags [P.], seq 126:281, ack 108, win 229, options [nop,nop,TS val 2238065251 ecr 911603803], length 155

Answer 1

[mikes]

скорее всего пакеты таки адресованы серверу. выключите в разрешение имен и протоколов через dns в tcpdump и посмотрите на ip адреса.

Comments

[mikes]

perrfect, покажите дамп с ip, посмотрите дамп трафика на исходящем сервере

[mikes]

perrfect, как на счёт arp на web.net

Answer 2

[Денис Сечин]

Так как инфы о сети нет. Вангую : зеркалирования трафика включено, либо трафик между двумя машинами ходит через шлюз на котором tcpdump запущен