← Back to team overview

sslug-teknik team mailing list archive

Re: Output fra tcpdump

 

In <Pine.LNX.4.21.0004192259310.1115-100000@xxxxxxxxxxxxxxxxxxxxxxxxx> kristian@xxxxxxxx writes:

>On 19 Apr 2000, Henrik Storner wrote:

>> In <Pine.LNX.4.21.0004182000310.1989-100000@xxxxxxxxxxxxxxxxxxxxxxxxx>
>> kristian@xxxxxxxx writes:
>> 
>> >20:03:16.645964 P 8:0:39:4:12:61 0:0:0:0:0:1 809f 60: 
>> 
>> >8:0:39:4:12:61 er MAC-adresen på routeren.
>> 
>> >Hvad er det, og hvad gør det godt for?

Jeg tror nu at jeg har fundet ud af hvordan denne linie skal fortolkes.
Det er din router, der laver trafikken - source-adressen står først,
og det er efter hvad du skriver routerens adresse. Destination adressen
er så 0:0:0:0:0:1 - den er lidt mærkelig, det må være en eller anden
slags broadcast adresse.

809f er Ethernet frametype feltet. De typer som Linux kender står i
include/linux/if_ether.h (i kerne sourcen), men 809f er ikke en af
dem. Jeg synes bare det tal virker bekendt, fra en gang jeg sad og
debuggede nogen problemer med Token-Ring og IPX. Derfor min bemærkning
om du evt. havde IPX loaded i Linux maskinen.

60: er formentlig blot længden af pakken.

Prøv at checke router opsætningen, om det evt. kan være noget
keep-alive trafik, IPX SAP broadcasts eller andet pjat.
-- 
Henrik Storner     | "Crackers thrive on code secrecy. Cockcroaches breed 
<storner@xxxxxxxx> |  in the dark. It's time to let the sunlight in."
                   |  
                   |          Eric S. Raymond, re. the Frontpage backdoor


References