BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 5:51 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
FreeBSD 11.3
ipfw показал о наличии пакетов которые адресуются в virus sinkholes

Код:
00011      1752        84096 Mon Nov 14 14:42:53 2016 deny ip from any to 104.244.14.252
00012       135         6480 Mon Nov 14 14:43:30 2016 deny ip from any to 38.102.150.27

А запущенный на этот момент tcpdump ничего не показал

Код:
tcpdump -vv -n dst 104.244.14.252 > 1954

nano 1954 - пусто

Или надо открыть фаервол для этих адресов чтобы увидеть их в tcpdump?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 6:01 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5064
Откуда: Москва
kerogaz писал(а):
Или надо открыть фаервол для этих адресов чтобы увидеть их в tcpdump?

Не надо. Интерфейс указать не забыли?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 6:04 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
AMDmi3 писал(а):
kerogaz писал(а):
Или надо открыть фаервол для этих адресов чтобы увидеть их в tcpdump?

Не надо. Интерфейс указать не забыли?

Я прочитал что если явно не указывать интерфейс то слушаются все подключенные. Если убрать из команды dst ХХХХ то все пакеты по всем направлениям валят в указанный файл 1954. Но мне все направления не надо . Мне надо знать кто конкретно стучится на адреса sinkholes

Наверное я неправильно написал команду (host пропустил) Попробую так (добавил интерфейс ЛС)
Код:
tcpdump -i igb1 -n -nn -ttt dst host 104.244.14.252


Последний раз редактировалось kerogaz Пн 14 ноя, 2016 6:23 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 6:18 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5064
Откуда: Москва
kerogaz писал(а):
Я прочитал что если явно не указывать интерфейс то слушаются все подключенные.

Читали явно не там.
tcpdump(1) писал(а):
-i Listen on interface. If unspecified, tcpdump searches the sys‐
tem interface list for the lowest numbered, configured up inter‐
face (excluding loopback). Ties are broken by choosing the ear‐
liest match.

да и сообщение "listening on <interface>" должно намекать.

kerogaz писал(а):
Если убрать из команды dst ХХХХ то все пакеты по всем направлениям валят в указанный файл 1954. Но мне все направления не надо . Мне надо знать кто конкретно стучится на адреса sinkholes

Ещё раз, проверьте интерфейс. Если вы слушаете на внутреннем, разумеется заблокированных на внешнем пакетов не будет видно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 6:26 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
AMDmi3 писал(а):
kerogaz писал(а):
Я прочитал что если явно не указывать интерфейс то слушаются все подключенные.

Читали явно не там.
tcpdump(1) писал(а):
-i Listen on interface. If unspecified, tcpdump searches the sys‐
tem interface list for the lowest numbered, configured up inter‐
face (excluding loopback). Ties are broken by choosing the ear‐
liest match.

да и сообщение "listening on <interface>" должно намекать.

kerogaz писал(а):
Если убрать из команды dst ХХХХ то все пакеты по всем направлениям валят в указанный файл 1954. Но мне все направления не надо . Мне надо знать кто конкретно стучится на адреса sinkholes

Ещё, раз, проверьте интерфейс. Если вы слушаете на внутреннем, разумеется заблокированных на внешнем пакетов не будет видно.


Так чтобы посмотреть какой ip на внутреннем интерфейса стучится на белый адрес sinkhole надо указывать внешний интерфейс?
У меня внутренний интерфейс igb1 а внешний igb0
Получается надо так?
Код:
tcpdump -i igb0 -n -nn -ttt dst host 104.244.14.252


Последний раз редактировалось kerogaz Пн 14 ноя, 2016 6:31 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 6:30 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5064
Откуда: Москва
А, вирусы из внутренней сети? Тогда на внутреннем. На том интерфейсе через который стучится и слушайте.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Пн 14 ноя, 2016 6:32 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
AMDmi3 писал(а):
А, вирусы из внутренней сети? Тогда на внутреннем. На том интерфейсе через который стучится и слушайте.

Во внутренней. Сетевой виндовый червь Сonficker D. Я и слушаю внутренний интерфейс. И потом вирус стучится через фаервол а не через интерфейс: из внутренней сети через фаервол на внешюю. Я вот и спрашиваю может его открыть надо для этих адресов sinkholes http://whatis.techtarget.com/definition/botnet-sinkhole
Код:
tcpdump -i igb1 -n -nn -ttt dst host 104.244.14.252


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Почему не срабатывает tcpdump
СообщениеДобавлено: Вт 15 ноя, 2016 10:24 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
Поймал злодея.:) Спасибо
Код:
00:00:00.000000 IP 10.44.1.89.3795 > 104.244.14.252.80: Flags [S], seq 2373592559, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.955150 IP 10.44.1.89.3795 > 104.244.14.252.80: Flags [S], seq 2373592559, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:06.008553 IP 10.44.1.89.3795 > 104.244.14.252.80: Flags [S], seq 2373592559, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.751552 IP 10.44.1.89.3798 > 104.244.14.252.80: Flags [S], seq 2206568156, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.953755 IP 10.44.1.89.3798 > 104.244.14.252.80: Flags [S], seq 2206568156, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:06.008552 IP 10.44.1.89.3798 > 104.244.14.252.80: Flags [S], seq 2206568156, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.305094 IP 10.44.1.89.3801 > 104.244.14.252.80: Flags [S], seq 3962521314, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:03.002527 IP 10.44.1.89.3801 > 104.244.14.252.80: Flags [S], seq 3962521314, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:06.008465 IP 10.44.1.89.3801 > 104.244.14.252.80: Flags [S], seq 3962521314, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:37.704872 IP 10.44.1.89.3810 > 104.244.14.252.80: Flags [S], seq 241456976, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.381990 IP 10.44.1.89.3811 > 104.244.14.252.80: Flags [S], seq 533045542, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.571150 IP 10.44.1.89.3810 > 104.244.14.252.80: Flags [S], seq 241456976, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.403487 IP 10.44.1.89.3811 > 104.244.14.252.80: Flags [S], seq 533045542, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:03.605103 IP 10.44.1.89.3810 > 104.244.14.252.80: Flags [S], seq 241456976, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.403394 IP 10.44.1.89.3811 > 104.244.14.252.80: Flags [S], seq 533045542, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:09.617027 IP 10.44.1.89.3813 > 104.244.14.252.80: Flags [S], seq 3965305759, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.401972 IP 10.44.1.89.3814 > 104.244.14.252.80: Flags [S], seq 1896027322, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.598993 IP 10.44.1.89.3813 > 104.244.14.252.80: Flags [S], seq 3965305759, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:02.403441 IP 10.44.1.89.3814 > 104.244.14.252.80: Flags [S], seq 1896027322, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:03.605070 IP 10.44.1.89.3813 > 104.244.14.252.80: Flags [S], seq 3965305759,


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика