Port mirroring yaparken paketlerin çift olarak gelmesi

[taydin]

HP V1910-24G akıllı switch var. portlardan birisine üzerinde çalıştığım cihaz bağlı. Diğer port da linux makinama bağlı. Cihaza giden paketleri görebiliyorum wireshark ile, ama paketlerin neredeyse tamamı çifter çifter geliyor. Sorun cihazın çift paket göndermesi değil, zamanlara bakınca arada 100 ns var.

Bunu engellemek için önce linux makinadaki ethernet portuna IP adres vermemeyi denedim. Sorun aynen devam etti. ARP göndermemesi için özel ayar çektim ethernet portuna. Bu sefer ARP paketleri çifter çifter olmayı bıraktı, diğerleri aynen devam ediyor.

Broadcast paketlerin çifter gelmesi mantıklı, ona bir itirazım da yok. Ama bir DNS sorgusu gönderiyor, iki tane. Cevap gidiyor, iki tane. Bu sorun nasıl aşılır bilgisi olan var mı?

 

[Lyewor_]

Ama bir DNS sorgusu gönderiyor, iki tane. Cevap gidiyor, iki tane. Bu sorun nasıl aşılır bilgisi olan var mı?

Belki de şey oluyor olabilir. Mesela DNS sorgusunu gönderiyor, diğer gönderdiği de doğrulama yapıyor olabilir belki

 

[taydin]

Mesajların arasındaki süre birkaç yüz nanosaniye, yani işlemcinin birkaç tane makina dili komutu çalıştırma süresi Bir network mesajının gönderilmesi, ethernette iletilmesi, alınıp wireshark'a ulaşması binlerce kat daha uzun süre tutar. Sorun muhtemelen port mirroring yapılandırmasında. Switch iki mesajı da aynı anda gönderiyor ve böylece ikisi de neredeyse aynı time stamp değerine sahip.

 

[ckocagil]

Capture ayarında tek interface mi seçili?

 

[gumush]

Port mirrorda çift gorunmesi normal bence. Sonuçta router üzerinden herşeyi bir portal yönlendiriyor ikinci kez bunun yerine promiscuous moda geçen bir ethernet ile de paket analizi yapılabilir mi ?

 

[taydin]

Capture ayarında tek interface mi seçili?

Port 16 da prototip cihaz var, port 24 de linux PC ye bağlı. Wireshark'ta PC'ye bağlı bu portu dinliyorum. Sadece "host 10.2.1.151" capture filter var.

 

[taydin]

Port mirrorda çift gorunmesi normal bence. Sonuçta router üzerinden herşeyi bir portal yönlendiriyor ikinci kez bunun yerine promiscuous moda geçen bir ethernet ile de paket analizi yapılabilir mi ?

boardcast çift olarak görünebilir. Ama yukarıda 3 ve 4 numaralı satırlara bakarsan bunlar boardcast değil, noktadan noktaya. Bunların çift görünmesi mantıklı gelmiyor bana.

 

[taydin]

Çözmeye çalıştığım sorun DNS sorunu. Şimlilik benim linux makinasına bir DNS sunucusu kurup o şekilde test ediyorum. Mirroring olmadığı için çiftleme yok. Ama o kadar port mirror özelliği olan switch aldık. Hatta fazla gürültü yapıyordu, sessizleştirdik. Bu işe yaramayacaksa o zaman aptal bir switch alıp akıllısı ile uğraşmamak daha mantıklı.

Belki de bu port mirroring işini etkili bir şekilde kullanmak için çok daha ayrıntılı yapılandırılabilen bir cisco switch almak lazım. Sorunun o olduğunu bilsem alırım da zaten.