sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #21795
Re: Output fra tcpdump
In <Pine.LNX.4.21.0004192259310.1115-100000@xxxxxxxxxxxxxxxxxxxxxxxxx> kristian@xxxxxxxx writes:
>On 19 Apr 2000, Henrik Storner wrote:
>> In <Pine.LNX.4.21.0004182000310.1989-100000@xxxxxxxxxxxxxxxxxxxxxxxxx>
>> kristian@xxxxxxxx writes:
>>
>> >20:03:16.645964 P 8:0:39:4:12:61 0:0:0:0:0:1 809f 60:
>>
>> >8:0:39:4:12:61 er MAC-adresen på routeren.
>>
>> >Hvad er det, og hvad gør det godt for?
Jeg tror nu at jeg har fundet ud af hvordan denne linie skal fortolkes.
Det er din router, der laver trafikken - source-adressen står først,
og det er efter hvad du skriver routerens adresse. Destination adressen
er så 0:0:0:0:0:1 - den er lidt mærkelig, det må være en eller anden
slags broadcast adresse.
809f er Ethernet frametype feltet. De typer som Linux kender står i
include/linux/if_ether.h (i kerne sourcen), men 809f er ikke en af
dem. Jeg synes bare det tal virker bekendt, fra en gang jeg sad og
debuggede nogen problemer med Token-Ring og IPX. Derfor min bemærkning
om du evt. havde IPX loaded i Linux maskinen.
60: er formentlig blot længden af pakken.
Prøv at checke router opsætningen, om det evt. kan være noget
keep-alive trafik, IPX SAP broadcasts eller andet pjat.
--
Henrik Storner | "Crackers thrive on code secrecy. Cockcroaches breed
<storner@xxxxxxxx> | in the dark. It's time to let the sunlight in."
|
| Eric S. Raymond, re. the Frontpage backdoor
References