dziwne pakiety

Witam szanownych grupowiczów!

Mo¿e to bêdzie troszkê przyd³ugawe ... ale proszê o wyrozumia³o¶æ

Do tej pory mia³em w switchu 3com 4250T oko³o 35 kompów w LAN.
Switch niemal w konfiguracji fabrycznej (bez VLAnów itp...).
Wszystko chodzi³o jak w zegarku przez ponad rok.

A¿ tu pewnego dnia wszystko przesta³o. 3Comik zg³upia³: ¿adne pingi w
LANie nie id± (tak jak by woogóle nie prze³±cza³). Do panelu
konfiguracyjnego switcha przez IP nie idzie wej¶æ. Ale switch sobie
mruga w najlepsze, tak jak by wszystko pracowa³o normalnie....
Co ciekawsze, diody sygnalizacyjne na kartach sieciowych PCetów mrugaj±
jak szalone (sprawdzi³em kilka PC).

Tcpdump pokaza³ takie co¶:
10:52:28.671348 00:00:00:00:00:00 > 01:80:c2:00:00:01, ethertype Unknown
(0x8808), length 60:
0x0000: 0001 001f 0000 0000 0000 0000 0000 0000................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

Mac 01:80:c2:00:00:01 co najmniej dziwny i nie jest ¿adnym makiem
wystêpuj±cym w mojej sieci.

Po resecie switcha i za³adowaniu ustawieñ fabrycznych - bez zmian.

Od³±czy³em kompy na inne switche - tak, ¿e w ca³ym diagnozowanym
prze³±czniku by³ tylko jeden kabelek krosowy ³±cz±cy go z innym
prze³±cznikiem.
Dalej to samo. Nieustaj±cy flood.
Wyjmujê tego ostatniego krosa - wszystko dzia³a.
Wk³adam krosa znowu flood.

My¶la³em, ¿e mo¿e jaka¶ karta sieciowa uszkodzona w jednym z PC - no ale
jak wszystkie wypi±³em z prze³±cznika (zosta³ w nim tylko jeden kabelek
j.w.), a objawy nie ust±pi³y, to chyba karta sieciowa odpada?

Kolejna my¶l prze³±cznik: ale jak go od³±czê i postawiê np. na nim dwa
PC to wszystko jest OK.

Pogoogla³em na temat (0x8808) i wyczyta³em, ¿e mog± to byæ pakiety "flow
control" - ale jak siê to ma do moich objawów????

Trojan??? Ale je¿eli tak, to czemu switch:
flooduje wiele komputerów???
nie wpuszcza do panelu konfiguracyjnego??
nie odpowiada na pingi na swoim IP??
No chyba ze trojan atakowa³ akurat prze³±cznik - jest to mo¿liwe? jak
to stwierdziæ??

No i teraz zg³upia³em.....

Proszê o sugestiê co to mo¿e byæ, gdzie szukaæ

Pozdrawiam

Jim
Dy¿urny Lama

PS
Wszystkiego najlepszego w nowym roku!

Error
Sorry, this msg should be send to pl.comp.os.linux.

Jim

Jim napisa³(a):
> Witam szanownych grupowiczów!
>
> Mo¿e to bêdzie troszkê przyd³ugawe ... ale proszê o wyrozumia³o¶æ
>
> Do tej pory mia³em w switchu 3com 4250T oko³o 35 kompów w LAN.
> Switch niemal w konfiguracji fabrycznej (bez VLAnów itp...).
> Wszystko chodzi³o jak w zegarku przez ponad rok.
>
> A¿ tu pewnego dnia wszystko przesta³o. 3Comik zg³upia³: ¿adne pingi w
> LANie nie id± (tak jak by woogóle nie prze³±cza³). Do panelu
> konfiguracyjnego switcha przez IP nie idzie wej¶æ. Ale switch sobie
> mruga w najlepsze, tak jak by wszystko pracowa³o normalnie....
> Co ciekawsze, diody sygnalizacyjne na kartach sieciowych PCetów mrugaj±
> jak szalone (sprawdzi³em kilka PC).
>
> Tcpdump pokaza³ takie co¶:
> 10:52:28.671348 00:00:00:00:00:00 > 01:80:c2:00:00:01, ethertype Unknown
> (0x8808), length 60:
> 0x0000: 0001 001f 0000 0000 0000 0000 0000 0000................
> 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000................
> 0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
>
> Mac 01:80:c2:00:00:01 co najmniej dziwny i nie jest ¿adnym makiem
> wystêpuj±cym w mojej sieci.
>
> Po resecie switcha i za³adowaniu ustawieñ fabrycznych - bez zmian.
>
> Od³±czy³em kompy na inne switche - tak, ¿e w ca³ym diagnozowanym
> prze³±czniku by³ tylko jeden kabelek krosowy ³±cz±cy go z innym
> prze³±cznikiem.
> Dalej to samo. Nieustaj±cy flood.
> Wyjmujê tego ostatniego krosa - wszystko dzia³a.
> Wk³adam krosa znowu flood.
>
> My¶la³em, ¿e mo¿e jaka¶ karta sieciowa uszkodzona w jednym z PC - no ale
> jak wszystkie wypi±³em z prze³±cznika (zosta³ w nim tylko jeden kabelek
> j.w.), a objawy nie ust±pi³y, to chyba karta sieciowa odpada?
>
> Kolejna my¶l prze³±cznik: ale jak go od³±czê i postawiê np. na nim dwa
> PC to wszystko jest OK.
>
> Pogoogla³em na temat (0x8808) i wyczyta³em, ¿e mog± to byæ pakiety "flow
> control" - ale jak siê to ma do moich objawów????
>
> Trojan??? Ale je¿eli tak, to czemu switch:
> flooduje wiele komputerów???
> nie wpuszcza do panelu konfiguracyjnego??
> nie odpowiada na pingi na swoim IP??
> No chyba ze trojan atakowa³ akurat prze³±cznik - jest to mo¿liwe? jak
> to stwierdziæ??
>
> No i teraz zg³upia³em.....
>
> Proszê o sugestiê co to mo¿e byæ, gdzie szukaæ
>
> Pozdrawiam
>
> Jim
> Dy¿urny Lama
>
> PS
> Wszystkiego najlepszego w nowym roku!
>

On Mon, 01 Jan 2007, in the Usenet newsgroup comp.os.linux.networking, in
article <enbjcu$7i$(E-Mail Removed)>, Jim wrote:

>Error
>Sorry, this msg should be send to pl.comp.os.linux.

I can't read/understand Polish, but three things jump out at me:

>> Do tej pory mia³em w switchu 3com 4250T oko³o 35 kompów w LAN.
>> Switch

3Com 4250T switch

>> Tcpdump pokaza³ takie co¶:
>> 10:52:28.671348 00:00:00:00:00:00 > 01:80:c2:00:00:01, ethertype Unknown
>> (0x8808), length 60:

[compton ~]$ etherwhois 01:80:c2
Non-existent address as of Dec 18 17:25:59 MST 2006 OUI file
http://standards.ieee.org/regauth/oui/oui.txt
0180C2000000 Spanning Tree (BPDU) (see keywords Spanning Tree)
[compton ~]$ zgrep 880[0-f] rfcs/ethernet-numbers.gz
880B PPP [IANA]
[compton ~]$

Spanning Tree http://www.cisco.com/univercd/cc/td/...duct/rtrmgmt/\
sw_ntman/cwsimain/cwsi2/cwsiug2/vlan2/stpapp.htm
"Understanding Spanning-Tree Protocol: Spanning-Tree Protocol is a link
management protocol that provides path redundancy while preventing
undesirable loops in the network. For an Ethernet network to function
properly, only one active path can exist between two stations..."

Perhaps that may be related? You may want to wander over to the Usenet
newsgroup comp.protocols.tcp-ip, and perhaps comp.dcom.lans.ethernet.

Old guy