Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Пакеты как бы есть, но их как бы нет. Ребус.

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Первый вопрос] >> Пакеты как бы есть, но их как бы нет. Ребус.
Имя
Сообщение << Старые топики   Новые топики >>
Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 14:14:25.670000   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Коллеги прошу консультацию по перехвату пакетов неведомой скрытности.
Исходные данные:
1) Есть показания Мониторинга сети Антивируса Касперского 6.0.4.1611

2) В то же время в перехваченных пакетах программами WireShark, CommView, RawCap пакетов с данных IP-адресов нет.

Вопрос Можно чем-то перехватить вообще всё, что проходит через сетевую карту или попросить каспера отдать пакет, который он увидел? 8|
Post #: 1
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 14:22:07.543333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
 Попробуйте EtherSnoop 1.11
Post #: 2
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 14:56:58.970000   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Сейчас попробую, но думаю результат тот же будет. WireShark тоже через WinPcap работает. Ещё забыл уточнить, моя сеть 10.xx.xx.yy/24, таких странных адресов быть в сети вообще не должно, т.е. такой трафик вообще не маршрутизируется в мою сторону.
Post #: 3
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 16:00:30.746666   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Не перехватывает их EtherSnoop (а каспер при этом трафик показывает).[:-]
Post #: 4
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-07 00:04:11.380000   
namepunk

Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
 Как вариант - отключить в каспере все сетевые фильтры при работе снифферов. Также, есть ли уверенность, что эти пакеты свежие?
Post #: 5
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-07 09:59:38.646666   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
 WinPcap - многостаронен + фильтрация в названных выше программах. Если есть ip значит пакет как бы целый, но ответа на пакет не следует, а значит он скорей всего битый. Битые пакеты чаще всего отсеиваются по умолчанию, копайся в настройках.

Если узнать тип пакета (wireshark показывает) то можно предположить откуда он появился.

+/- это может быть и не настоящий ip. Раз у тебя есть сеть значит атака с подменой Ip вполне вероятна, а отсутсвие ответа может говорить о типе syn-сканирования блокированного каспером.
Post #: 6
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 08:24:35.463333   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Пакеты свежие ) эта хрень перманентно на многих компутерах в сети обозначена, адреса только не всегда совпадают. Пакеты приходят во время работы снифера, обращаю на это отдельное самое пристальное внимание.
З.Ы. в нашей палатке только самые свежие пакеты … ага ))
Post #: 7
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 08:26:58.483333   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Ltonid, попробую с вырубленным каспером послушать эфир и настройки повнимательней почитаю ваершарка. О результатах отпишусь ессесна.
Post #: 8
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 11:42:11.700000   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Попробовал WinDump (версия tcpdump под винду) с вырубленным анти-хакером (ну и название) в каспре

C:\ADM_Res\SysToolz\WinDump.exe: listening on \Device\NPF_{D1816D9C-9462-49A0-BB
B4-2F9DFAA79145}

13576 packets captured
13594 packets received by filter
0 packets dropped by kernel

Количество переданных фильтром пакетов меньше количества захваченных в плен. Как бы утёкших этих ещё поиметь… думай голова, шапку куплю! 8|
Post #: 9
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 14:25:36.580000   
namepunk

Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
quote:

Количество переданных фильтром пакетов меньше количества захваченных в плен. Как бы утёкших этих ещё поиметь

Судя по тому, что эти 18 потерянных пакетов были захвачены, но не обработаны фильтром, думаю что это просто битые пакеты. Битый пакет был получен сетевухой, захвачен tcpdump, но обработать его не удалось.
Post #: 10
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 15:20:40.520000   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 тактактактактак … получается он всё-таки в дампе, только обработать его анализатор трафика не может ?
Post #: 11
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 16:44:45.053333   
namepunk

Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
 Imho да
Post #: 12
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 10:50:59.926666   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Вся фишка в интерпретации каспером пакетов, он некоторые пакеты неправильно разбирает. Т.е. в анализаторе трафика ваершарк к примеру идёт 10.11.40.1, а в каспере 40.1.216.210. Открываю дамп хексэдитором, нахожу там 40.1.216.210 и вижу перед ним 10.11. разберусь ещё что такое 216.210. Попристальней посмотрю на пакетики да ручками их разберу на составляющие, и совсем успокоюсь );)
Post #: 13
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 11:48:06.693333   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 d8d38574ea49503de57f5f6a08060001080006040002503de57f5f6a0a0b2801d8d38574ea490a0b2858000000000000000000000000000000000000 именно на этот кадр последний раз неверно отреагировал бедняга.
Post #: 14
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 12:26:42.766666   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Каспер неправильно определяет ARP-ответы от владельцев IP-адресов, MAC-адреса которых фигурируют в ARP-запросе. Все ARP-ответы регестрируются как трафик с IP составленного из 2-х последних байтов IP-адреса и 2-х первых байтов MAC-адреса запрашывающего.

Исследование закончено, namepunk спасибо за науку.
Post #: 15
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 13:02:02.973333   
namepunk

Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
 Прикольно. Запости темку на форуме каспера, интересно что они отпишуться. Хотя 6 версия далеко не последняя и наверное в новых версиях разборщик уже пофиксили.
Post #: 16
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 13:39:25.180000   
SNF

Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
 Я последнюю kav6.0.4.1611_winwksru.exe тоже пробовал, та же петрушка.
На форуме касперского ответил Oleg Bykov Product Developer "Спасибо. Отправил информацию в группу разработки сетевых драйверов." Namepunk, я чуть не кончил, когда нашёл, где собака зарыта. Ну меня наверное любой задр… ой, ][-мэн поймёт. :D
Post #: 17
Страниц:  [1]
Все форумы >> [Первый вопрос] >> Пакеты как бы есть, но их как бы нет. Ребус.







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.