Guten Tag, ich bin mit meinem Latein am Ende. Ich habe meinen altgedienten Netgear GS105E mit Port Mirroring aufgebaut. Damit ich sehe was ein zwischen einem Gerät und dem Internet passiert. Dieses Gerät sendet einen Ping an 8.8.8.8 . Auf meinen Pc mit dem ich auf dem Mirrorport mit Wireshark mit lese sehe ich die ICMP Pakete die von 8.8.8.8 zurückkommen aber ich sehe nicht request zu 8.8.8.8 . Warum ist das so? Wo ist mein Denkfehler? Danke für die Hilfe
Moin, Kanns sein, dass dein Port Mirror nur Packerl in einer Richtung mirrort? Gruss WK
Dergute W. schrieb: > Moin, > > Kanns sein, dass dein Port Mirror nur Packerl in einer Richtung mirrort? > > Gruss > WK Eigendlich nicht. Danke für die Hilfe
Ich weiss, daß dir das nicht unbedingt hilft, aber so ein Gerät gibts bei uns auch im Netz. Es ist irgendeine Steuerung, was weiss ich grad nicht mehr. Dank Proxy, Firewall und ACL sind dessen Bemühungen aber sinnlos. <Quelle Google> Google Public DNS ist beispielsweise ein kostenloser DNS-Dienst von Google, der darauf abzielt, die Leistung und Sicherheit zu verbessern. Die IP-Adressen für Google Public DNS lauten 8.8.8.8 und 8.8.4.4.
Mein_erstes_Mal schrieb: > Auf meinen Pc mit dem ich auf dem Mirrorport mit Wireshark mit lese sehe > ich die ICMP Pakete die von 8.8.8.8 zurückkommen aber ich sehe nicht > request zu 8.8.8.8 . Warum ist das so? Hast du in Wireshark einen Filter aktiv (Display oder Capture Filter)? Da 8.8.8.8 ein DNS Server ist, sind die ausgehenden Pakete höchstwahrscheinlich DNS über UDP Port 53 oder TCP Port 53 also kein ICMP. Im ICMP wird wohl nur drinstehen, dass der Host nicht erreichbar ist weil die Firewall ihn blockt. Michael
:
Bearbeitet durch User
IP oder sonst einen Filter falsch gesetzt? Probiert mal andere Pakettypen.
Für mich klingt das als ob nur bestimmte aber nicht alle Ports auf den Snifferport gespiegelt werden. Bleibt das Ergebnis gleich, wenn man die Ports vertauscht?
kann man denn bei den kleinen Switches tatsächlich nur eine Richtung spiegeln? Ich würde also entweder mit Capture Filter host 8.8.8.8 aufzeichnen oder alles aufzeichnen und mit Display Filter ip.addr == 8.8.8.8 nachgucken
Angehängte Dateien:
Michael D. schrieb: > UDP Port 53 oder TCP Port 53 Ja das Ergebnis ist das Selbe. Andere Sachen sehe ich aber nicht das Paket zu 8.8.8.8
Moin, Mein_erstes_Mal schrieb: > Eigendlich nicht. Und uneigentlich? Was passiert denn, wenn du an deinem Switch mal die Strippen vom dem Rechner und "vom Internet" vertauschst und dann an deinem Mirrorport horchst? Koennte es sein, dass dann die "andere Haelfte" der Kommunikation erscheint? Gruss WK
in dem Zusammenhang ist der Filter ip.addr == 8.8.8.8 geeigneter als ip.addr == 192.168.150.249.
Dergute W. schrieb: > Moin, > > Mein_erstes_Mal schrieb: >> Eigendlich nicht. > > Und uneigentlich? > Was passiert denn, wenn du an deinem Switch mal die Strippen vom dem > Rechner und "vom Internet" vertauschst und dann an deinem Mirrorport > horchst? > Koennte es sein, dass dann die "andere Haelfte" der Kommunikation > erscheint? > > Gruss > WK Da kommt genau das gleiche raus. Danke trotzdem
Moin, Mein_erstes_Mal schrieb: > Da kommt genau das gleiche raus. Hm. Da staunt der Fachman, und der Wunde leiert sich und ist dann auch schon am Ende mit dem Latein... Gruss WK
Vermutlich kann es dein Switch nicht. Beide Richtungen können sowieso nicht zuverlässig an einen Port gemirrored werden, da die Bandbreite nicht reicht (wären 2 GBit) Evtl ist das auch das Problem. Kannst du die Bandbreite mal auf dem Gerät und Internet-Port auf 100 oder 10 MBit zurück schalten
Mit dem Filter ip.addr == 8.8.8.8 kommt natürlich nicht genau das gleiche raus, wie mit dem Filter ip.addr == 192.168.150.249. Es ist damit wohl gemeint, dass auch dann nur die Replies zu sehen sind und keine Requests. Da vom Google DNS nur dann ein Echo Reply kommen kann, wenn er einen entsprechenden Echo Request empfangen hat, hat entweder die Portspiegelung tatsächlich nicht funktioniert (aber dann wahrscheinlich nicht wegen des 2 auf 1 MBit-Problems) oder die Requests sind über ein anderes Interface gelaufen. Wo liegt denn die ungefähr 30 ms entfernte „schwarzer Balken“-IP? Auch im Internet? Hat der Miniswitch die aktuelle Firmware?
Roland P. schrieb: > Vermutlich kann es dein Switch nicht. Beide Richtungen können > sowieso > nicht zuverlässig an einen Port gemirrored werden, da die Bandbreite > nicht reicht (wären 2 GBit) > > Evtl ist das auch das Problem. Kannst du die Bandbreite mal auf dem > Gerät und Internet-Port auf 100 oder 10 MBit zurück schalten das genau diese Pakete immer mathematisch rausfehlen ist auch nicht besonders logisch.
Roland P. schrieb: > Vermutlich kann es dein Switch nicht. Beide Richtungen können > sowieso > nicht zuverlässig an einen Port gemirrored werden, da die Bandbreite > nicht reicht (wären 2 GBit) > > Evtl ist das auch das Problem. Kannst du die Bandbreite mal auf dem > Gerät und Internet-Port auf 100 oder 10 MBit zurück schalten das genau diese Pakete immer mathematisch rausfehlen ist auch nicht besonders logisch. Martin B. schrieb: > Wo liegt denn die ungefähr 30 ms entfernte „schwarzer Balken“ Ja der sitzt auch irgendwo im Internet. Martin B. schrieb: > Hat der Miniswitch die aktuelle Firmware? Das muss ich schauen. Habe mir das Gerät vor Jahren gekauft und eingestellt und immer nur für den Zweck verwendet. Bis jetzt ist mir so ein Verhalten auch nie aufgefallen.
Mein_erstes_Mal schrieb: > das genau diese Pakete immer mathematisch rausfehlen ist auch nicht > besonders logisch. Ja, da hast natürlich recht. Wollte eher darauf raus, dass du mal versuchst, die Geschwindigkeit zu reduzieren. https://wiki.wireshark.org/SwitchReference/NetGear Probier mal die aktuelle Firmware... Zu 99% tippe ich, dass der Switch die Pakete unterschlägt. Hast keine Möglichkeit, den Paketmitschnitt wo anders zu machen. Inzwischen können das ja die meisten Router. Gruß Roland
Roland P. schrieb: > https://wiki.wireshark.org/SwitchReference/NetGear Da steht drin: "Port mirroring: Up to four source ports and one destination port can be specified." So wie ich das verstehe, könnte dies das Verhalten erklären. Du kannst mal probieren die Kabel an deinen Switch umzustecken oder falls man im Switch die 4 Sources auswählen kann die entsprechend ändern. Michael
Michael D. schrieb: > Da steht drin... Und > There are some other issues with this switch: http://forum1.netgear.com/showthread.php?t=49571. That ping issue was fixed with firmware beta version GS105E_V1.00.09.HEX, and in release version V1.00.10 in June 2010. Ich habe aber auf die Schelle nicht herausgefunden, was das ist. Der Link ist tot
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.