Кто-нибудь ловил NetXRay дохлые пакеты (CRC, oversize, aligment, ...). Коли да - какая NIC/Driver/OS?
Либо подскажите чем подсмотреть какая станция ерунду токает.
> Кто-нибудь ловил NetXRay дохлые пакеты (CRC, oversize, > aligment, ...). Коли да - какая NIC/Driver/OS? > Либо подскажите чем подсмотреть какая станция ерунду > токает. Сетка на свичах или на хабъе. Если на свичах то тока если с каждой станции оправлять пакеты на какуюто одну где запущен xRAY. Если же вся сетка собрана на хабах то можно по мониторить ее в течении нескольких часиков если ента станция и будет серить кривыми пакетами его сразу будет видно.
> Сетка на свичах или на хабъе. Если на свичах то тока если с > каждой станции оправлять пакеты на какуюто одну где запущен > xRAY. Если же вся сетка собрана на хабах то можно по > мониторить ее в течении нескольких часиков если ента > станция и будет серить кривыми пакетами его сразу будет > видно.
Ты не понял :) Пакеты совсем дохлые (CRC/frame alignment error, runt/oversize...), NetXray их вообще отбрасывает (при получении таких пакетов NetXray пищит через динамик и увеличивает счетчик ошибочных пакетов), т.е. эти пакеты с помощью NetXray посмотреть нельзя.
> > Сетка на свичах или на хабъе. Если на свичах то тока > если с > > каждой станции оправлять пакеты на какуюто одну где > запущен > > xRAY. Если же вся сетка собрана на хабах то можно по > > мониторить ее в течении нескольких часиков если ента > > станция и будет серить кривыми пакетами его сразу > будет > > видно. > > Ты не понял :) Пакеты совсем дохлые (CRC/frame alignment > error, runt/oversize...), NetXray их вообще отбрасывает > (при получении таких пакетов NetXray пищит через динамик и > увеличивает счетчик ошибочных пакетов), т.е. эти пакеты с > помощью NetXray посмотреть нельзя.
Ну тада я не знаю такой утилитки. Можно конечно засечь при отправки с какой станции xRay пищать начинает но шибко заморочено.
> Какого тогда х... в настройках фильтра "capture - filter > settings - advance filter" есть возможность задать отлов > этих пакетов?
Ух-ты, я не знал. Тебе надо было это написать c самого начала :)))
В хэлпе написано, что это поддерживается не для всех карточек. Завтра попробую включить эту опцию и половить такие пакеты (с их генерацией проблем нет :)
From NetXray help:
---------------------------------
Capturing and Filtering Ethernet Error Packets
With a special NDIS driver written and supported by Network General, NetXRay is capable of capturing a full range of Ethernet error packets - CRC, runt, fragment, oversize, and jabber. You can also set pre- and post- filters to capture and view one or more error packet types.
The current supported NIC cards are NE2000 compatible ISA and PCMCIA cards. Contact Network General, or visit www.ngc.com for the latest list of NIC cards supported.
> Ух-ты, я не знал. Тебе надо было это написать c самого > начала :))) > В хэлпе написано, что это поддерживается не для всех > карточек. Завтра попробую включить эту опцию и половить > такие пакеты (с их генерацией проблем нет :)
Это как у тебя получается их генерить? Что бы я не набирал в Packet Generator любая дурь летит как нормальный пакет (другое дело что его никто не сможет понять, но смоделировать CRC, runt, fragment, oversize, or jabber я не смог)
> Это как у тебя получается их генерить? Что бы я не набирал > в Packet Generator любая дурь летит как нормальный пакет > (другое дело что его никто не сможет понять, но > смоделировать CRC, runt, fragment, oversize, or jabber я не > смог)
> > Какого тогда х... в настройках фильтра "capture - > filter > > settings - advance filter" есть возможность задать > отлов > > этих пакетов? > > Ух-ты, я не знал. Тебе надо было это написать c самого > начала :))) > В хэлпе написано, что это поддерживается не для всех > карточек. Завтра попробую включить эту опцию и половить > такие пакеты (с их генерацией проблем нет :) > > From NetXray help: > --------------------------------- > Capturing and Filtering Ethernet Error Packets > > With a special NDIS driver written and supported by Network > General, NetXRay is capable of capturing a full range of > Ethernet error packets - CRC, runt, fragment, oversize, and > jabber. You can also set pre- and post- filters to capture > and view one or more error packet types. > > The current supported NIC cards are NE2000 compatible ISA > and PCMCIA cards. Contact Network General, or visit > www.ngc.com for the latest list of NIC cards supported.
Читать я и сам умею. Пробовал с NIC:
- PCMCIA (ABOCOM Re450ST BNC/TP)
- RTL8029
- RTL8029(AS)
- Intel Pro 100/VE Network Connection (встроенная на В815EEA2)
Не получилось ни под WIN98SE ни под WinME
Под W2K вообще NetXRay сетевых адаптеров не видит.
Хотелось бы знать как обстоит дело с Nt4.
И хотелось бы понять что такое "special NDIS driver written and supported by Network General" - точнее где его взять. На www.ngc.com теперь чушь какая-то висит.
> Читать я и сам умею. Пробовал с NIC: > - PCMCIA (ABOCOM Re450ST BNC/TP) > - RTL8029 > - RTL8029(AS) > - Intel Pro 100/VE Network Connection (встроенная на > В815EEA2) > Не получилось ни под WIN98SE ни под WinME > Под W2K вообще NetXRay сетевых адаптеров не видит. > Хотелось бы знать как обстоит дело с Nt4.
Аналогично, под Win98SE ничего не ловится на
Intel Pro+
COMPEX RE 10/100 PCI
3Com EtherLink III ISA (3C509-TPO)
хотя сам NetXray в Dashboard показывает, что идут пакеты с CRC error
> И хотелось бы понять что такое "special NDIS driver written > and supported by Network General" - точнее где его взять.
Вряд ли это про какой-то другой драйвер, кот-й надо покупать отдельно, скорее всего это они нахваливают тот драйвер, кот-й идет с NetXray :)
В C:\prog..files\Cinconet\NetXRay\Driver\ лежит пара драйверов (от Network General?). Зная, что моя PCMCIA Card "Ne2000 - compatible", нагло переименовал ne2000.sys в нужный мне *.sys и, соответственно перезаписал.
Тут же NetXRay стал ловить CRC и Fragment кадры, может и еще что ловит - еще недостаточно статистики. Jabber-ы точно не цепляет.
Работает похоже с этим *.sys неустойчиво - два раза вылетал в перезагрузку.
Ясно одно - чтобы ловить "дохлые пакеты" действительно нужен спец. драйвер, передающий их на уровень выше.
Если кто знает где все-таки взять эти "спец. драйверы" - оставьте ссылку.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
