+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

СМУЩЕНИЕ С TORCH

СМУЩЕНИЕ С TORCH, RouterOS

homerwsmith

Guest

20.06.2014 18:11:00

Дорогие друзья,
при использовании torch на интерфейсе RX и TX данные однозначно относятся к этому интерфейсу и показывают правильное направление передачи пакета. Однако порядок SRC и DST IP-адресов в каждом соединении кажется случайным, запутанным, не относящимся к делу или даже всем вместе.
Кто-нибудь, пожалуйста, объясните, что означают src и dst в таблице данных, которая показывает двустороннее соединение в одной строке между точками, а не отдельный пакет, как это делает пакетный сниффер, где src и dst имеют совершенно понятный смысл.

Кстати, очень хотелось бы, чтобы пакетный сниффер показывал расшифрованные данные, как это делает tcpdump. Смотреть на сырые данные пакета совсем не весело.

Спасибо,
Homer W Smith
CEO Lightlink Internet

pe1chl

Guest

14.08.2018 11:46:00

Я тоже считаю это запутанным. Когда ты делаешь Torch на интерфейсе, ожидаешь сидеть на роутере и смотреть поток пакетов, который идет наружу. Поэтому «src» — это локальная сторона, «dst» — удалённая, «tx» — трафик, переданный на интерфейсе, а «rx» — трафик, принятый на интерфейсе. То есть, как сейчас, «src» и «dst» перепутаны, а «tx» и «rx» указаны правильно.

strods

Guest

14.08.2018 12:16:00

Torch работает с интерфейсом и видит все пакеты, проходящие через него. Сопоставление адресов происходит следующим образом:
a) Если указать dst-address, то принятые (RX) пакеты на интерфейсе должны иметь этот IP как адрес назначения;
b) Если указать dst-address, то отправляемые (TX) пакеты на интерфейсе должны иметь этот IP как адрес источника.

Torch устроен так, чтобы вы могли комбинировать пункты A и B и видеть полный поток. Вы видите реальный трафик в обоих направлениях.

pe1chl

Guest

14.08.2018 12:57:00

Пока что я рассматриваю ситуацию, когда не указаны никакие критерии совпадения. Просто наблюдаю за выводом по умолчанию. Если смотреть на интерфейс, то TX отображается как выходной трафик интерфейса. Но при этом трафик имеет src-address удалённой стороны и dst-address локальной. Это я бы считал RX.

homerwsmith

Guest

22.04.2019 01:27:00

Спасибо всем, кто ответил. Вот мое «правило», которому я научился. Если вы делаете torch на интерфейсе, удалённый IP с той же стороны роутера, что и интерфейс, всегда является источником, а любой другой IP — назначением, независимо от того, находится он внутри роутера или через другой интерфейс. Если пакеты приходят и уходят через один и тот же интерфейс, тогда src становится неоднозначным, так как оба IP — удалённые для этого интерфейса. В любом случае я бы пожаловался, что использовать src и dst в однострочном описании двусторонних пакетов — изначально неправильное и мало полезное решение, не говоря уже о том, что это трудно запомнить. Называть их remote и local могло бы сработать, если бы не ситуация, когда пакет приходит и уходит через один и тот же интерфейс. Присваивание src и dst согласно какому-то внутреннему алгоритму роутера может быть понятно тем, кто писал код, но приводит в полный ступор tcpdump-юзеров, у которых уже есть устоявшееся определение src и dst. Сам пакет показывает, какой IP — src, а какой — dst, так что то, что показывает torch, — это что-то иное, не соответствующее привычному tcp/ip-языку. И при этом до сих пор непонятно, что именно это за «иное». Homer W. Smith CEO Lightlink

ckonsultor

Guest

23.03.2024 19:47:00

Прошло десять лет, а Torch до сих пор сбивает с толку. Он отфильтровывает пакеты, которые роутер не станет обрабатывать? Или Torch показывает все пакеты, проходящие через интерфейс? Если Torch игнорирует некоторые пакеты, это могло бы объяснить, почему я не могу понять, куда пропадают некоторые пинги. Как пользователь Wireshark, я привык, что адреса src и dst что-то означают в заголовках отдельных пакетов, а не указывают, с какой стороны началось соединение.

ynalex

Guest

03.10.2024 13:29:00

Все еще непонятно. Разве нельзя добавить запрос на функцию, чтобы трафик в TORCH отображался так же, как при запуске «Packet Sniffer» на том же интерфейсе с последующим просмотром результатов, скажем, в Wireshark? Сейчас это слишком запутанно, и чтобы в этом разобраться, нужен целый мануал!

P.S. Я специально зарегистрировался, чтобы оставить комментарий на этом форуме, хотя я пользователь Mikrotik около 10 лет, но никогда не был так разочарован функцией, как сейчас.

TomjNorthIdaho

Guest

03.10.2024 14:35:00

Было бы здорово, если бы Torch показывал флаг EST (установленное соединение) для трафика. Или есть какой-то другой способ удобно мониторить трафик интерфейса и фильтровать установленный трафик от неустановленного (новые подключения)? (и, возможно, другие типы трафика в заголовке пакета, например, текущие счетчики переходов). Северный Айдахо, Том Джонс

pe1chl

Guest

03.10.2024 14:39:00

Похоже, что torch использует такие функции, как «отслеживание соединений» (connection tracking), чтобы показывать источник и назначение трафика, и при этом исходный и конечный адрес на самом деле относятся к стороне, которая установила L3-соединение, а не к L2-трафику, который вы анализируете с помощью torch. Поэтому сложно предсказать, что будет источником, а что назначением при анализе трафика на полностью маршрутизируемых интерфейсах. В типичной ситуации с «NAT-маршрутизатором с одним интернет-подключением» это не так критично.

ynalex Guest	#10 0 03.10.2024 22:49:00 «„Исходный и конечный адрес на самом деле относятся к стороне, которая установила L3 соединение“ — это логично. Да, абсолютно. Я никогда не думал с этой точки зрения, был настолько сосредоточен на «направлении трафика», что упустил эту логику.»

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры