Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
как посмотреть пакеты на localhost? 19.06.02 09:23
Автор: cybervlad <cybervlad> Статус: Elderman
|
Дано: виндовая машина, на ней есть некий сервис, слушающий на определенном порту на 127.0.0.1. На винде разрешен роутинг, естественно, есть и "нормальный" ip-адрес (пусть будет 192.168.1.1). С другой машины (юниксовой, но это не суть важно) в сторону виндовой посылаются пакеты на этот сервис. Т.е. MAC-адрес назначения (dst MAC) в пакете стоит МАК-адрес сетевой платы виндовой машины, ip-адрес назначения (dst ip) - 127.0.0.1. Адреса источника (MAC и IP) в пакете установлены "честные", т.е. мак-адрес сетевой платы атакующей машины и "честный" ip (пусть будет 192.168.1.2). Все происходит в одном ethernet-сегменте. Пакеты в сетевой кабель уходят (проверено сниффером), но сервис на них никак не реагирует.
Вопрос: Это виндоый стек такой умный, что не пропускает пакеты на 127.0.0.1 с внешнего интерфейса, да еще с "внешним" ip-адресом источника, или сервис умничает? Чем это можно посмотреть (что-то типа статистики, выдаваемой линуксовым ifconfig)?
|
|
как посмотреть пакеты на localhost? 20.06.02 01:21
Автор: Renkvil <Boris> Статус: Member
|
Я высказажу некоторые свои мысли, хотя они возможно не помогут на пути продвижения к истине ;-)
> сервис. Т.е. MAC-адрес назначения (dst MAC) в пакете стоит
> МАК-адрес сетевой платы виндовой машины, ip-адрес
> назначения (dst ip) - 127.0.0.1. Адреса источника (MAC и
Если IP назначения 127.0.0.1 - то пакеты будут уходить вообще, т.е. не будет ли машина рассматривать их как посылку самому себе?
На Layer3 вроде берётся только IP-адрес, а не МАС? - т.е. для рутинга МАС не нужен?
> IP) в пакете установлены "честные", т.е. мак-адрес сетевой
> платы атакующей машины и "честный" ip (пусть будет
> 192.168.1.2). Все происходит в одном ethernet-сегменте.
> Пакеты в сетевой кабель уходят (проверено сниффером), но
> сервис на них никак не реагирует.
> Вопрос: Это виндоый стек такой умный, что не пропускает
> пакеты на 127.0.0.1 с внешнего интерфейса, да еще с
> "внешним" ip-адресом источника, или сервис умничает? Чем
> это можно посмотреть (что-то типа статистики, выдаваемой
> линуксовым ifconfig)?
Тут некоторые вообще нетстат советовали ;-) - хотя разве что послать один пакет на виндовую машину в то время, когда на неё не приходят другие пакеты и посмотреть нетстатом на ней, сколько пришло. Если 0 - то не обессудь ;-)
Т.е. вопрос в том, тормозит ли пакеты стек Винды или сам сервис?
А что если на этот сокет повесить что-то типа netcat'а который честно покажет всё, что доставил стек Винды на этот порт?
А далее - методом исключения... ;-)
Удачи!
|
| |
как посмотреть пакеты на localhost? 20.06.02 07:45
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Если IP назначения 127.0.0.1 - то пакеты будут уходить
> вообще, т.е. не будет ли машина рассматривать их как
> посылку самому себе?
ну я же написал ниже, что в кабель они уходят - сниффером проверял. естесвенно, стандартным софтом их фиг пошлешь, все это через raw-socket.
> На Layer3 вроде берётся только IP-адрес, а не МАС? - т.е.
> для рутинга МАС не нужен?
а причем тут 3 уровень? когда я шлю пакет, ipназначения в котором - далекий сервер за океаном, мак-адрес в нем стоит - моего шлюза по умолчанию...
> Т.е. вопрос в том, тормозит ли пакеты стек Винды или сам
> сервис?
вот именно...
> А что если на этот сокет повесить что-то типа netcat'а
> который честно покажет всё, что доставил стек Винды на этот
> порт?
> А далее - методом исключения... ;-)
ну так для этого его надо ставить или писать (мне проще на С программку набросать). я думал, что кто-то знает простой способ проверки штатными средствами...
|
|
как посмотреть пакеты на localhost? 19.06.02 16:16
Автор: XR <eXtremal Research> Статус: The Elderman
|
> Дано: виндовая машина, на ней есть некий сервис, слушающий
> на определенном порту на 127.0.0.1. На винде разрешен
> роутинг, естественно, есть и "нормальный" ip-адрес (пусть
> будет 192.168.1.1). С другой машины (юниксовой, но это не
> суть важно) в сторону виндовой посылаются пакеты на этот
> сервис. Т.е. MAC-адрес назначения (dst MAC) в пакете стоит
> МАК-адрес сетевой платы виндовой машины, ip-адрес
> назначения (dst ip) - 127.0.0.1. Адреса источника (MAC и
> IP) в пакете установлены "честные", т.е. мак-адрес сетевой
> платы атакующей машины и "честный" ip (пусть будет
> 192.168.1.2). Все происходит в одном ethernet-сегменте.
> Пакеты в сетевой кабель уходят (проверено сниффером), но
> сервис на них никак не реагирует.
>
> Вопрос: Это виндоый стек такой умный, что не пропускает
> пакеты на 127.0.0.1 с внешнего интерфейса, да еще с
> "внешним" ip-адресом источника, или сервис умничает? Чем
> это можно посмотреть (что-то типа статистики, выдаваемой
> линуксовым ifconfig)?
Попробуй побаловаться с TDIMon
может быть ситуация прояснится
(на мой взгляд IMHO это так виндовый стек работает)
TDIMon
|
| |
как посмотреть пакеты на localhost? 20.06.02 07:47
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Попробуй побаловаться с TDIMon
посмотрю, спасибо.
> (на мой взгляд IMHO это так виндовый стек работает)
мне почему-то тоже так кажется ;)
|
|
Я- 192.168.1.***, а ты, Vlad, кто? 19.06.02 11:58
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
|
| |
Я- 192.168.1.***, а ты, Vlad, кто? 19.06.02 13:50
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
Это у тебя юмор такой, или ты действительно не понимаешь, в чем суть проблемы, и что конкретные айпишники приведены чисто для примера?
|
| | |
Вероятность совпадения. IP-реальный (внешний) Юмор. 20.06.02 05:08
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
|
| | | |
Вероятность совпадения. IP-реальный (внешний) Юмор. 20.06.02 07:51
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
не понял, совпадения чего и чего? 192.168.1.* - для внутреннего использования. в 99% примеров указывается именно он...
|
|
как посмотреть пакеты на localhost? 19.06.02 10:37
Автор: iddqd <Юрий> Статус: Member
|
Вообще, по идее, для получатиля 127.0.0.1 и отправителя, допустим, 192.168.1.2 (униховая машина) на мастдаевой машине (192.168.1.1) не должно быть рутинга.
Или я ошибаюсь?
|
| |
как посмотреть пакеты на localhost? 19.06.02 13:48
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Вообще, по идее, для получатиля 127.0.0.1 и отправителя,
> допустим, 192.168.1.2 (униховая машина) на мастдаевой
> машине (192.168.1.1) не должно быть рутинга.
> Или я ошибаюсь?
По дефолту на w98 форвардинг пакетов вообще отключен. Но если его включить (ключиком в реестре), появляется возможность роутинга. Собственно, при разрешенном форвардинге пакеты должны ходить по всем вариантам, записанным в таблице роутинга (route print). Я так понимаю. Но для описанного случая может быть сделано жесткое исключение ;) Вот я и вопрошал, как это проверить...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
