[Ayuda] Kernel tira todos los paquetes cuando esta en un port mirror

[Yuri Vasilevski]

Hola,

> Cuando tengo conectado esa maquina al un puerto del switch sin port 
> mirror y corro tcpdump, obviamente veo solamente el traifco que 

En principio desde la perspectiva de la maquina este caso
y el de abajo son idénticos.

> involucra a ese equipo, para escuchar todo lo demas, lo conecto al port 
> mirror y corro denuevo tcpdump para ver el trafico que recibe, ahora 
> tcpdump se queda mudo, no ve nada y al cancelarlo muestra un mensaje 
> imilar a:
> 
> 45698 packets received
> 45680 packets dropped by Kernel

Y siendo que el único cambio lo hiciste en el switch, lo
único que se me ocurre, por poco probable que sea es que
tu switch esta corrompiendo paquetes cuando habilitas el
port mirror y ya sea que tu tarjeta de red tenga validación
por hardware y tire los paquetes desde ahí simplemente
notificando al kernel que le llegan, o que lo haga
alguno de los múltiples niveles de auditoría a redhat
le encanta poner a sus kernels.

Es lo mejor que se me ocurre, por improbable que sea.
Pero si no tienes nada mas, puedes probar si este es
el caso conectando la maquina de preferencia por un
x-over o a través del switch sin port mirror habilitado
a otra maquina e intentar capturar paquetes falsos
o erróneos que puedes generar con programas como
SendIP: http://www.earth.li/projectpurple/progs/sendip.html

Saludos,
Yuri.

 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/