tcpdump - Traffic bizarre sur un serveur...

Marsh Posté le 01-06-2005 à 15:59:48

:hello:

Hello,

sur un des mes serveurs, j'ai du traffic que je n'arrive pas à identifier

extrait d'un tcpdump:

Code :

15:49:37.487263 00:00:00:00:00:40 > 01:80:c2:00:00:01, ethertype Unknown (0x8808), length 60:
0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0020: 0001 0000 0000 8808 0001 0000 0000 ..............

et ceci au moins 10 fois par secondes!
La machine tourne sous Fedora Core 2. Des idées pour savoir d'où ce qui peut provoquer ça?

merci

Reply

Marsh Posté le 01-06-2005 à 15:59:48

Reply

Marsh Posté le 01-06-2005 à 16:02:33

peut être des trames erronées l'@MAC 00:00:00:00:00:40 me semble bizarre ou alors un bug de tcpdump

Message édité par jlighty le 01-06-2005 à 16:03:16

Reply

Marsh Posté le 01-06-2005 à 16:04:45

bah justement c'est bien cette MAC qui m'étonne.... :heink:

Reply

Marsh Posté le 01-06-2005 à 16:09:21

regarde si avec Ethereal il y a le même problème.
Si c'est le cas :
-fragment d'une trame
-bug dans la librairie libpcap
-du flood ? avec une taille de 60octets :sarcastic:
-un équipement du réseau local(imprimante en Ethernet, peut être l'interface du routeur) qui déconnerait ?

isôle le serveur pour être sûr que ça ne vient pas d'un service local.

Message édité par jlighty le 01-06-2005 à 16:35:13

Reply

Marsh Posté le 01-06-2005 à 16:20:08

Je vais essayer avec ethereal..
Pour l'isoler ça va être hard, il est en prod là (relais de messagerie+ proxy)

(j'essayerais quand même prochainement.)

Reply

Marsh Posté le 01-06-2005 à 16:27:51

attaque/flood ?

---------------
:: Light is Right ::

Reply

Marsh Posté le 01-06-2005 à 16:39:52

Je ne pense pas, "en principe " la machine n'est pas accessible de l'extérieur (hormis ses rôles) et ça le fait de puis un moment.... (pas eu le temps de m'en occuper :ange: )