| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
viktor83
Зарегистрирован: 07.02.2005
Сообщения: 121
|
 Добавлено: Пн Ноя 14 2005 11:15 Заголовок сообщения: Broadcast шторм |
 |
|
| Уважаемые господа, не подскажете как можно найти в сетке машину которая плюётся в сеть широковещательными пакетами? Может есть какая то утилитка? Подскажите пожалуйста? |
|
| Вернуться к началу |
|
 |
Andy_user
Зарегистрирован: 03.12.2003
Сообщения: 382
Откуда: Санкт-Петербург
|
| Добавлено: Пн Ноя 14 2005 11:32 Заголовок сообщения: |
|
|
Любой сниффер + анализ IP-адреса и MAC-адреса отправителя.
_________________
Знание принципов компенсирует незнание фактов. |
|
| Вернуться к началу |
|
|
viktor83
Зарегистрирован: 07.02.2005
Сообщения: 121
|
| Добавлено: Пн Ноя 14 2005 13:11 Заголовок сообщения: |
|
|
| А какой есть нормальный сниффер? |
|
| Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула
|
| Добавлено: Пн Ноя 14 2005 14:39 Заголовок сообщения: |
|
|
а чем ты определил, что у тебя сети проблема с широковещательными пакетами?
я пользуюсь tcpdump под линукс, вроде есть и под винду, мне больше и не надо, большие возможности, если разобраться |
|
| Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003
Сообщения: 382
Откуда: Санкт-Петербург
|
| Добавлено: Пн Ноя 14 2005 15:24 Заголовок сообщения: |
|
|
Например, Ethereal
_________________
Знание принципов компенсирует незнание фактов. |
|
| Вернуться к началу |
|
|
viktor83
Зарегистрирован: 07.02.2005
Сообщения: 121
|
| Добавлено: Пн Ноя 14 2005 15:59 Заголовок сообщения: |
|
|
На циске видно, что половина пакетов в сети - широковешщательные... Вот и забивают сетку! А вообще спасибо, я похоже нашёл причину: Все машины плюются в сетку по NetBIOSу. Попробую отключить его на каждой машине...  |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Ноя 14 2005 16:06 Заголовок сообщения: |
|
|
| Код: | | Попробую отключить его на каждой машине |
Не удивляйся потом, что компы пропали в "Сетевом окружении".
Лучше поставь WINS. |
|
| Вернуться к началу |
|
|
viktor83
Зарегистрирован: 07.02.2005
Сообщения: 121
|
| Добавлено: Пн Ноя 14 2005 16:53 Заголовок сообщения: |
|
|
| так машины же в ДНС зарегистрированы все... ДНС и разрешит IP в имена! Я понимаю, если был бы W98! Или я ошибаюсь? |
|
| Вернуться к началу |
|
|
GuestS
Зарегистрирован: 19.02.2005
Сообщения: 60
|
| Добавлено: Пн Ноя 14 2005 20:50 Заголовок сообщения: |
|
|
Если IP адреса в сети раздает виндовый DHCP сервер то можно чтобы он еще автоматом выдавал машинам в сети и тип узла и выставить этот тип узла равным m - этим Вы запретите разрешение нетбиос имен с помощью бродкаста.
P.S тип узла равный m я написал по памяти поэтому мог и ошибиться, лучше на всякий случай сверьтесь с документацие какой тип узла нужна использовать чтобы отменить ресолвинг имен бродкастом. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Ноя 14 2005 22:30 Заголовок сообщения: |
|
|
| Цитата: | | так машины же в ДНС зарегистрированы все... ДНС и разрешит IP в имена! Я понимаю, если был бы W98! Или я ошибаюсь? |
Ошибаешься. "Сетевое окружение" без броадкаста или WINS не живет.
Win9x действительно не живет без него. А WinNT/2000/XP может. НО!
Если отключить netbios, то на компы и сервер можно будет зайти только примерно так: Пуск, выполнить, \\комп
В сетевом окружении будет пусто.
Всех неверующих отправляю к книге "Active Directory. Профессиональный подход". Страница 119.
А почему это так и как делать правильно читать со страницы 91
Если вас не пугает отсутствие компов в сетевом окружении, юзвери в него и не заглядывают, вы разруливаете все вручную - дерзайте. Отключайте броадкаст и netbios.
Кстати, а ARP-запросы отключить не хотите? Они тоже широковещательные.  |
|
| Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула
|
| Добавлено: Вт Ноя 15 2005 06:46 Заголовок сообщения: |
|
|
А зачем в Виндовой сети нужен netbios? достаточно клиента сетей микрософт и службы доступа к файлам и принтерам.
Большое количество бродкаст пакетов может быть из-за неправильно статически указаного dns или шлюза,
в любом случае поможет снифер |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Ноя 15 2005 22:29 Заголовок сообщения: |
|
|
| Цитата: | | А зачем в Виндовой сети нужен netbios? |
Ты пошутил? Или просто не владеешь предметом?
Отключи его на всех своих виндовых компах, быстро узнаешь зачем.  |
|
| Вернуться к началу |
|
|
solomon
Зарегистрирован: 08.11.2005
Сообщения: 8
|
| Добавлено: Ср Ноя 16 2005 11:43 Заголовок сообщения: |
|
|
Подскажите, темному  , что такое бродкаст и сниффер?
А вообще просто винс ставишь и он сам разбирается |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Ноя 16 2005 13:21 Заголовок сообщения: |
|
|
| solomon писал(а): | | ...А вообще просто винс ставишь и он сам разбирается |
Смайлик в конце забыл? Само ничего не разбирается Помимо того, что WINS надо установить, неплохо бы еще клиентам "сказать", что он есть и им надо пользоваться. Примерно так, как сказал GuestS. Только внутри локалки не M-тип, а H-тип у клиента нужен (М сначала шлет широковещательный запрос, потом к WINS'у лезет, Н - наоборот. Мы же хотим широковещательные запросы уменьшить? Значит сначала спросим WINS, может он в курсе. Если не в курсе, тогда не судьба, придется слать широковещательные и в lmhosts заглянуть.)
http://www.certification.ru/library/articlesdir/big57.html
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003
Сообщения: 382
Откуда: Санкт-Петербург
|
| Добавлено: Ср Ноя 16 2005 14:44 Заголовок сообщения: |
|
|
| Цитата: | | Если не в курсе, тогда не судьба, придется слать широковещательные и в lmhosts заглянуть.) |
Что-то мне подсказывает, что в кэш NetBIOS-имен (а значит и в файл lmhosts) заглядывают до обращения к серверу WINS.
_________________
Знание принципов компенсирует незнание фактов. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Ноя 16 2005 15:26 Заголовок сообщения: |
|
|
| Andy_user писал(а): | | Цитата: | | Если не в курсе, тогда не судьба, придется слать широковещательные и в lmhosts заглянуть.) |
Что-то мне подсказывает, что в кэш NetBIOS-имен (а значит и в файл lmhosts) заглядывают до обращения к серверу WINS. |
Вердикт: виновен. Каюсь, грешен Но не совсем.
Как ТАМА? CanWeBuyLargeHardDisk или CowsWithBigLipsHaveDrool ?
Cache (local)
Wins
Broadcast
Lmhosts
Hosts
DNS
Вроде так.
О! Кстати, может кто знает акроним (его расшифровку, ессно) для разрешения доменных имен? Вроде мне его как-то называли, да подзабыл. Тоже что-то про "большой жесткий диск было".
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003
Сообщения: 382
Откуда: Санкт-Петербург
|
| Добавлено: Ср Ноя 16 2005 16:11 Заголовок сообщения: |
|
|
a-m-d
Вобщем, Вы правы.
Но не совсем.
Дело в том, что в подаляющем большинстве случаев при использования файла lmhosts для ускорения процесса разрешения NetBIOS-имен в строках этого файла используют ключевую конструкцию #PRE, что приводит к внесению этой строки в кэш NetBIOS-имен с неограниченным временем существования этой записи в кэше.
_________________
Знание принципов компенсирует незнание фактов. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Ноя 16 2005 16:44 Заголовок сообщения: |
|
|
Я так мыслю, что помеченное #PRE все-же стОит считать уже содержимым кэша. А вот то, что лежит в lmhosts без такой пометки будет обнаружено уже после широковещания.
Спорить сильно не буду - смысл, вроде, уже ясен.
С уважением... |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Ср Ноя 16 2005 17:26 Заголовок сообщения: |
|
|
| Цитата: | | Кстати, а ARP-запросы отключить не хотите? Они тоже широковещательные. |
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Ноя 16 2005 23:31 Заголовок сообщения: |
|
|
| Цитата: | | Что-то мне подсказывает, что в кэш NetBIOS-имен (а значит и в файл lmhosts) заглядывают до обращения к серверу WINS. |
Вероятнее всего вам это нашептывает официальная документация Микрософт о режимах работы NetBios-узла.
Нашептывает она верно.
Все желающие могут легко получить ПРАВИЛЬНУЮ информацию о режимах работы узла NetBios на сайте support.microsoft.com
Для особо ленивых даю прямую ссылку: http://support.microsoft.com/default.aspx?scid=kb;ru;119493
Текст на чистейшем русском языке, так что не стесняйтесь, читайте. |
|
| Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула
|
| Добавлено: Чт Ноя 17 2005 09:54 Заголовок сообщения: |
|
|
| and3008 писал(а): | | Цитата: | | А зачем в Виндовой сети нужен netbios? |
Ты пошутил? Или просто не владеешь предметом?
Отключи его на всех своих виндовых компах, быстро узнаешь зачем. |
пошутил, если в виндовой сети нужен netbios, то чем тогда "занимается клиент сетей микрософт" ? Просто есть протокол, и есть служба поддержки netbios поверх tcp, через которую и работает Клиент сетей микрософт, так если бы человек это понял, он бы не предлагал отключить netbios.
А человек так и не сказал, какая у него организация сети. Домен или одноранговая, или сети через роутер? ведь обычная работа сети с разрешением имён через бродкаст не должна сильно влиять на загрузку сети.
Последний раз редактировалось: fLamer (Чт Ноя 17 2005 10:16), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Чт Ноя 17 2005 10:09 Заголовок сообщения: |
|
|
Дык. ПРАВИЛЬНАЯ информация по разрешению имен NetBIOS узлом гибридного типа (а мы рассматривали его) от нашей отличается тем, что прежде всего узел проверяет, а не "является ли указанное имя именем локальной машины" Вроде больше ничем.
Кэш это кэш. И неважно каким путем попали туда данные. WINS их дал по предыдущим запросам или из lmhosts подгрузили - кэш имен будет просмотрен ДО обращения к серверу имен и непосредственно к файлу lmhosts. Или я все же неправ?
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
