Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 17:38



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 76 ]  На страницу Пред.  1, 2, 3, 4  След.
проблемы с IPS 
Автор Сообщение

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
Нафига переустанавливать? Рестартани процессы.


04 сен 2009, 14:58
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
перезапуск не помог. вот и решил переставить


04 сен 2009, 15:00
Профиль WWW

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
и что, помогло?


04 сен 2009, 15:07
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
нет, тоже самое пишет


04 сен 2009, 15:18
Профиль WWW

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
Виндовый фаер не настраивал, файрволлообразным ПО на этом компе не баловался?


04 сен 2009, 15:40
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
в итоге дошло до меня, что проблема в моем компе. :shock:
Попробывал установить IME на другом,установил, нормально подключился к сенсору, получает события и отображает их.т.е. все с сенсорами в порядке, а проблема в компе. На нем выключен брандмауер windows, стоит каспер. Но я не помню, что за последнее время что-то менял в нем. Пробывал отключать каспера, но все тоже самое. Даже не знаю что и делать. :?


07 сен 2009, 10:07
Профиль WWW

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
Ты писал нечто типа "если смотреть через monitoring - события есть".
Который из мониторингов ты имел в виду - на IME или через веб-морду/IDM?
Cетевые настройки явы на компах идентичные? Проснифай SDEE-трафик, ибо есть некое подозрение, что ты не все проверил, что требовалось.


07 сен 2009, 10:52
Профиль

Зарегистрирован: 20 июл 2009, 11:31
Сообщения: 565
у меня вот тоже проблемы с IDSM начались..ни с того, ни с сего перестали приходить в рилтайме сообщения на IME..после переустановки приложения вообще не могу добавить сенсор..вот такая ошибка выскакивает:
Изображение
через IDM та же фигня..с других компов тоже не получается..пробовал отключать https и генерить новые сертификаты - не помогает...при всём при этом сенсор ловит траффик, о чём говорит MARS..


07 сен 2009, 15:10
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
я имел ввиду мониторинг через IDM. сетевые настройки явы одинаковые.я на всякий случай взял удалил temporary files и в idm'е у меня теперь все хорошо, т.е. у меня теперь event retrieval.но с ime тоже самое - при попытке подключения к сенсору выдает все туже ошибку. а как мне проснифить SDEE-трафик и что мне это может дать? а что значит я не все проверил?


07 сен 2009, 15:34
Профиль WWW

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
bibl2008 писал(а):
я имел ввиду мониторинг через IDM. сетевые настройки явы одинаковые.я на всякий случай взял удалил temporary files и в idm'е у меня теперь все хорошо, т.е. у меня теперь event retrieval.но с ime тоже самое - при попытке подключения к сенсору выдает все туже ошибку. а как мне проснифить SDEE-трафик и что мне это может дать? а что значит я не все проверил?

bibl2008:
Я не имел в виду расшифровать трафик, который ты засниффаешь. Просто посмотри, куда идут от тебя запросы.
1. Посмотри, идут ли они на 443 порт сенсоров.
2. Посмотри, когда рестартанешь сервисы, есть ли TCP-сессия, которая устанавливается с самим собой. Кстати, для этого можешь в Каспере включить антихакер в режиме обучения и просмотреть, куда будет пытаться ломиться IME.
komuccap:
а припомнить хоть какие-то сопутствующие этой трагедии изменения можешь?
Кстати, проделай те же махинации, что и bibl2008.

В чем прикол: Cisco IME состоит из клиентской и серверной части. Взаимодействие идет через сеть, и причем не только loopback, но и свой же IP-адрес.
То есть, сначала он устанавливает соединение типа как бы сам с собой на порт 47007. Вопрос в том, куда уходит этот запрос: туда куда надо, или нет. Если нет - оно юзает сетевые настройки java, и если в сети есть WPAD, то он может подхватиться в том случае, если стоит отметка на "автоматически определять прокси".
Тут можете мне сказать типа "чувак, я же писал, что работаю без прокси...", но я не знаю, как настроена ваша сеть, и, возможно, вы тоже. Поэтому и уточняю.
Это не SDEE-трафик к сенсорам, к тем уже на другом этапе смотреть надо, пардон.


07 сен 2009, 17:24
Профиль

Зарегистрирован: 20 июл 2009, 11:31
Сообщения: 565
anod писал(а):
komuccap:
а припомнить хоть какие-то сопутствующие этой трагедии изменения можешь?
Кстати, проделай те же махинации, что и bibl2008.

сервисы рестартанул, прокси все отключены..в домене да, есть политика на автоматическое определение параметров прокси, но раньше это на работоспособность IME никак не влияло..в общем ничего не помогает...на других компах и операционных системах тоже не работает..цысковский саппорт уже две недели решает эту проблему и пока безрезультатно..помню, началось всё это после того, как на сервере МАРСа я с настройками ntp игрался..но как-то не думаю, что это могло повлиять на сенсор..причем IDM у меня вчера странным образом заработал, но event retrieving в статусе red был..


08 сен 2009, 07:59
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
При запуске ime осуществляются следующие соединения:


Вложения:
[Расширение jpg было запрещено, вложение больше недоступно.]
08 сен 2009, 08:58
Профиль WWW

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
далее при добавлении сенсора производится соединение по 443 порту к сенсору, как я понял для получения сертификат. а потом никаких соединений нет, хотя ime показывает что пытается соединиться с ним.
Выкладываю результаты wireshark'a:


Вложения:
[Расширение gif было запрещено, вложение больше недоступно.]
08 сен 2009, 09:39
Профиль WWW

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
komuccap писал(а):
сервисы рестартанул, прокси все отключены..в домене да, есть политика на автоматическое определение параметров прокси, но раньше это на работоспособность IME никак не влияло..в общем ничего не помогает...на других компах и операционных системах тоже не работает..цысковский саппорт уже две недели решает эту проблему и пока безрезультатно..помню, началось всё это после того, как на сервере МАРСа я с настройками ntp игрался..но как-то не думаю, что это могло повлиять на сенсор..причем IDM у меня вчера странным образом заработал, но event retrieving в статусе red был..

ой-ой-ой... А сенсоры с тем же NTP синхронизированы?
До 7й версии IME не умело работать с проксей, поэтому и не влияло.


08 сен 2009, 10:06
Профиль

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
bibl2008 писал(а):
далее при добавлении сенсора производится соединение по 443 порту к сенсору, как я понял для получения сертификат. а потом никаких соединений нет, хотя ime показывает что пытается соединиться с ним.
Выкладываю результаты wireshark'a:

Слушай, дарагой, а что у тебя с сетью? Почему сниффер показывает битые контрольные суммы?
В норме после ACK'a пойдут данные уровня приложения, а у тебя битый пакет приходит, и, соответственно, нифига дальше не идет.


08 сен 2009, 10:40
Профиль

Зарегистрирован: 20 июл 2009, 11:31
Сообщения: 565
anod писал(а):
ой-ой-ой... А сенсоры с тем же NTP синхронизированы?
До 7й версии IME не умело работать с проксей, поэтому и не влияло.

да, сенсор синхронизируется с тем же самым нтп-сервером..хоть и разные подсети, но железное ядро одно и то же..
так не влияло именно на 7 самую последнюю версию IME..не работает даже на машинах, которые и не в домене и которые про прокси-сервера ни слухом ни духом..


08 сен 2009, 10:41
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
с сетью все нормально,все остальное по сети работает хорошо.


08 сен 2009, 10:47
Профиль WWW

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
bibl2008 писал(а):
с сетью все нормально,все остальное по сети работает хорошо.

запусти сниффер на том компе, где все ОК - и ты увидишь, что Application data будет приходить. Сеть - это не только активное сетевое оборудование, но и сетевуха.


08 сен 2009, 10:57
Профиль

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
komuccap писал(а):
да, сенсор синхронизируется с тем же самым нтп-сервером..хоть и разные подсети, но железное ядро одно и то же..
так не влияло именно на 7 самую последнюю версию IME..не работает даже на машинах, которые и не в домене и которые про прокси-сервера ни слухом ни духом..

Ну тогда хз. В логе, который рекомендует софтинка, что-то удобоваримое показано?
Кстати, касается обоих: IME Console Window какие-то ахтунги пишет?


08 сен 2009, 11:16
Профиль

Зарегистрирован: 20 июл 2009, 11:31
Сообщения: 565
anod писал(а):
Ну тогда хз. В логе, который рекомендует софтинка, что-то удобоваримое показано?
Кстати, касается обоих: IME Console Window какие-то ахтунги пишет?

в файле лога всё однообразно:
Код:
2009-09-08 12:43:54,255 [tr] ERROR - 1
2009-09-08 12:44:00,832 [tt] WARN - m69: error in init() null
2009-09-08 12:44:00,833 [q] ERROR - addSource() thread initialization error

в console window пусто...


08 сен 2009, 11:46
Профиль

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
Мой мозг начинает выкидывать белый флаг. Не знаю.


08 сен 2009, 11:50
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
что-то беда какая-то! и на другом компе теперь такая же проблема с ime. Запустил там снифер - тоже куча битых пакетов. :?: Что это может быть? подскажите, пожалуйста?


08 сен 2009, 11:58
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ошибка начинает напоминать системную :(

а) Надо теребить циску
б) IME установлен на какую платформу?


08 сен 2009, 12:04
Профиль

Зарегистрирован: 29 июл 2009, 10:21
Сообщения: 42
Откуда: Киев
bibl2008 писал(а):
что-то беда какая-то! и на другом компе теперь такая же проблема с ime. Запустил там снифер - тоже куча битых пакетов. :?: Что это может быть? подскажите, пожалуйста?

Эти оба компа подключены к одному свичу?


08 сен 2009, 12:08
Профиль

Зарегистрирован: 05 дек 2008, 14:00
Сообщения: 207
да, за одним


08 сен 2009, 12:16
Профиль WWW
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 76 ]  На страницу Пред.  1, 2, 3, 4  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB