Пакеты как бы есть, но их как бы нет. Ребус.
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 14:22:07.543333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Попробуйте EtherSnoop 1.11
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 14:56:58.970000
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Сейчас попробую, но думаю результат тот же будет. WireShark тоже через WinPcap работает. Ещё забыл уточнить, моя сеть 10.xx.xx.yy/24, таких странных адресов быть в сети вообще не должно, т.е. такой трафик вообще не маршрутизируется в мою сторону.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-05 16:00:30.746666
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Не перехватывает их EtherSnoop (а каспер при этом трафик показывает).[:-]
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-07 00:04:11.380000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Как вариант - отключить в каспере все сетевые фильтры при работе снифферов. Также, есть ли уверенность, что эти пакеты свежие?
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-07 09:59:38.646666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
WinPcap - многостаронен + фильтрация в названных выше программах. Если есть ip значит пакет как бы целый, но ответа на пакет не следует, а значит он скорей всего битый. Битые пакеты чаще всего отсеиваются по умолчанию, копайся в настройках. Если узнать тип пакета (wireshark показывает) то можно предположить откуда он появился. +/- это может быть и не настоящий ip. Раз у тебя есть сеть значит атака с подменой Ip вполне вероятна, а отсутсвие ответа может говорить о типе syn-сканирования блокированного каспером.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 08:24:35.463333
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Пакеты свежие ) эта хрень перманентно на многих компутерах в сети обозначена, адреса только не всегда совпадают. Пакеты приходят во время работы снифера, обращаю на это отдельное самое пристальное внимание. З.Ы. в нашей палатке только самые свежие пакеты … ага ))
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 08:26:58.483333
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Ltonid, попробую с вырубленным каспером послушать эфир и настройки повнимательней почитаю ваершарка. О результатах отпишусь ессесна.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 11:42:11.700000
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Попробовал WinDump (версия tcpdump под винду) с вырубленным анти-хакером (ну и название) в каспре C:\ADM_Res\SysToolz\WinDump.exe: listening on \Device\NPF_{D1816D9C-9462-49A0-BB B4-2F9DFAA79145} 13576 packets captured 13594 packets received by filter 0 packets dropped by kernel Количество переданных фильтром пакетов меньше количества захваченных в плен. Как бы утёкших этих ещё поиметь… думай голова, шапку куплю! 8|
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 14:25:36.580000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
quote:
Количество переданных фильтром пакетов меньше количества захваченных в плен. Как бы утёкших этих ещё поиметь Судя по тому, что эти 18 потерянных пакетов были захвачены, но не обработаны фильтром, думаю что это просто битые пакеты. Битый пакет был получен сетевухой, захвачен tcpdump, но обработать его не удалось.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 15:20:40.520000
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
тактактактактак … получается он всё-таки в дампе, только обработать его анализатор трафика не может ?
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-10 16:44:45.053333
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Imho да
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 10:50:59.926666
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Вся фишка в интерпретации каспером пакетов, он некоторые пакеты неправильно разбирает. Т.е. в анализаторе трафика ваершарк к примеру идёт 10.11.40.1, а в каспере 40.1.216.210. Открываю дамп хексэдитором, нахожу там 40.1.216.210 и вижу перед ним 10.11. разберусь ещё что такое 216.210. Попристальней посмотрю на пакетики да ручками их разберу на составляющие, и совсем успокоюсь );)
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 11:48:06.693333
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
d8d38574ea49503de57f5f6a08060001080006040002503de57f5f6a0a0b2801d8d38574ea490a0b2858000000000000000000000000000000000000 именно на этот кадр последний раз неверно отреагировал бедняга.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 12:26:42.766666
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Каспер неправильно определяет ARP-ответы от владельцев IP-адресов, MAC-адреса которых фигурируют в ARP-запросе. Все ARP-ответы регестрируются как трафик с IP составленного из 2-х последних байтов IP-адреса и 2-х первых байтов MAC-адреса запрашывающего. Исследование закончено, namepunk спасибо за науку.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 13:02:02.973333
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Прикольно. Запости темку на форуме каспера, интересно что они отпишуться. Хотя 6 версия далеко не последняя и наверное в новых версиях разборщик уже пофиксили.
|
|
|
RE: Пакеты как бы есть, но их как бы нет. Ребус. - 2012-05-11 13:39:25.180000
|
|
|
SNF
Сообщений: 13
Оценки: 0
Присоединился: 2012-05-05 14:06:01.580000
|
Я последнюю kav6.0.4.1611_winwksru.exe тоже пробовал, та же петрушка. На форуме касперского ответил Oleg Bykov Product Developer "Спасибо. Отправил информацию в группу разработки сетевых драйверов." Namepunk, я чуть не кончил, когда нашёл, где собака зарыта. Ну меня наверное любой задр… ой, ][-мэн поймёт. :D
|
|
|
|
|