Дано: виндовая машина, на ней есть некий сервис, слушающий на определенном порту на 127.0.0.1. На винде разрешен роутинг, естественно, есть и "нормальный" ip-адрес (пусть будет 192.168.1.1). С другой машины (юниксовой, но это не суть важно) в сторону виндовой посылаются пакеты на этот сервис. Т.е. MAC-адрес назначения (dst MAC) в пакете стоит МАК-адрес сетевой платы виндовой машины, ip-адрес назначения (dst ip) - 127.0.0.1. Адреса источника (MAC и IP) в пакете установлены "честные", т.е. мак-адрес сетевой платы атакующей машины и "честный" ip (пусть будет 192.168.1.2). Все происходит в одном ethernet-сегменте. Пакеты в сетевой кабель уходят (проверено сниффером), но сервис на них никак не реагирует.
Вопрос: Это виндоый стек такой умный, что не пропускает пакеты на 127.0.0.1 с внешнего интерфейса, да еще с "внешним" ip-адресом источника, или сервис умничает? Чем это можно посмотреть (что-то типа статистики, выдаваемой линуксовым ifconfig)?
как посмотреть пакеты на localhost?20.06.02 01:21 Автор: Renkvil <Boris> Статус: Member
Я высказажу некоторые свои мысли, хотя они возможно не помогут на пути продвижения к истине ;-)
> сервис. Т.е. MAC-адрес назначения (dst MAC) в пакете стоит > МАК-адрес сетевой платы виндовой машины, ip-адрес > назначения (dst ip) - 127.0.0.1. Адреса источника (MAC и
Если IP назначения 127.0.0.1 - то пакеты будут уходить вообще, т.е. не будет ли машина рассматривать их как посылку самому себе?
На Layer3 вроде берётся только IP-адрес, а не МАС? - т.е. для рутинга МАС не нужен?
> IP) в пакете установлены "честные", т.е. мак-адрес сетевой > платы атакующей машины и "честный" ip (пусть будет > 192.168.1.2). Все происходит в одном ethernet-сегменте. > Пакеты в сетевой кабель уходят (проверено сниффером), но > сервис на них никак не реагирует.
> Вопрос: Это виндоый стек такой умный, что не пропускает > пакеты на 127.0.0.1 с внешнего интерфейса, да еще с > "внешним" ip-адресом источника, или сервис умничает? Чем > это можно посмотреть (что-то типа статистики, выдаваемой > линуксовым ifconfig)?
Тут некоторые вообще нетстат советовали ;-) - хотя разве что послать один пакет на виндовую машину в то время, когда на неё не приходят другие пакеты и посмотреть нетстатом на ней, сколько пришло. Если 0 - то не обессудь ;-)
Т.е. вопрос в том, тормозит ли пакеты стек Винды или сам сервис?
А что если на этот сокет повесить что-то типа netcat'а который честно покажет всё, что доставил стек Винды на этот порт?
А далее - методом исключения... ;-)
Удачи!
как посмотреть пакеты на localhost?20.06.02 07:45 Автор: cybervlad <cybervlad> Статус: Elderman
> Если IP назначения 127.0.0.1 - то пакеты будут уходить > вообще, т.е. не будет ли машина рассматривать их как > посылку самому себе? ну я же написал ниже, что в кабель они уходят - сниффером проверял. естесвенно, стандартным софтом их фиг пошлешь, все это через raw-socket.
> На Layer3 вроде берётся только IP-адрес, а не МАС? - т.е. > для рутинга МАС не нужен? а причем тут 3 уровень? когда я шлю пакет, ipназначения в котором - далекий сервер за океаном, мак-адрес в нем стоит - моего шлюза по умолчанию...
> Т.е. вопрос в том, тормозит ли пакеты стек Винды или сам > сервис? вот именно...
> А что если на этот сокет повесить что-то типа netcat'а > который честно покажет всё, что доставил стек Винды на этот > порт? > А далее - методом исключения... ;-) ну так для этого его надо ставить или писать (мне проще на С программку набросать). я думал, что кто-то знает простой способ проверки штатными средствами...
как посмотреть пакеты на localhost?19.06.02 16:16 Автор: XR <eXtremal Research> Статус: The Elderman
> Дано: виндовая машина, на ней есть некий сервис, слушающий > на определенном порту на 127.0.0.1. На винде разрешен > роутинг, естественно, есть и "нормальный" ip-адрес (пусть > будет 192.168.1.1). С другой машины (юниксовой, но это не > суть важно) в сторону виндовой посылаются пакеты на этот > сервис. Т.е. MAC-адрес назначения (dst MAC) в пакете стоит > МАК-адрес сетевой платы виндовой машины, ip-адрес > назначения (dst ip) - 127.0.0.1. Адреса источника (MAC и > IP) в пакете установлены "честные", т.е. мак-адрес сетевой > платы атакующей машины и "честный" ip (пусть будет > 192.168.1.2). Все происходит в одном ethernet-сегменте. > Пакеты в сетевой кабель уходят (проверено сниффером), но > сервис на них никак не реагирует. > > Вопрос: Это виндоый стек такой умный, что не пропускает > пакеты на 127.0.0.1 с внешнего интерфейса, да еще с > "внешним" ip-адресом источника, или сервис умничает? Чем > это можно посмотреть (что-то типа статистики, выдаваемой > линуксовым ifconfig)?
Попробуй побаловаться с TDIMon
может быть ситуация прояснится
(на мой взгляд IMHO это так виндовый стек работает)
Вообще, по идее, для получатиля 127.0.0.1 и отправителя, допустим, 192.168.1.2 (униховая машина) на мастдаевой машине (192.168.1.1) не должно быть рутинга.
Или я ошибаюсь?
как посмотреть пакеты на localhost?19.06.02 13:48 Автор: cybervlad <cybervlad> Статус: Elderman
> Вообще, по идее, для получатиля 127.0.0.1 и отправителя, > допустим, 192.168.1.2 (униховая машина) на мастдаевой > машине (192.168.1.1) не должно быть рутинга. > Или я ошибаюсь? По дефолту на w98 форвардинг пакетов вообще отключен. Но если его включить (ключиком в реестре), появляется возможность роутинга. Собственно, при разрешенном форвардинге пакеты должны ходить по всем вариантам, записанным в таблице роутинга (route print). Я так понимаю. Но для описанного случая может быть сделано жесткое исключение ;) Вот я и вопрошал, как это проверить...
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
