Strona 2 z 6 PierwszyPierwszy 1234 ... OstatniOstatni
Pokaż wyniki 11 do 20 z 56

Temat: problem z apf

  1. #11
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Widac ze to nie jest firewall bo to co podajesz pokazuje jasno ze policy jest ACCEPT i nie ma zadnych wpisow DROP... proponuje sprawdzic swoje serwery DNS jakie masz ustawione na kompie i/lub serwerze lub sprobowac uzywac przez jakis czas innych.

    U mnie w domu notorycznie mam problem z pobraniem poczty - pierwszy strzal zawsze idzie w las... musze przerwac i dac jeszcze raz - po prostu ktorys z DNSow ktorego uzywam ma problemy a nie mam czasu ani ochoty sprawdzac ktory.

    Jesli przycina sie DNS to skutek bedzie wizualnie podobny - jedna strona nie chce wejsc, pozniej zaczyna wchodzic. Jesli mowisz ze pomaga restart rotuera to zgaduje ze na nim masz jakis DNS proxy ktory robi cache zapytan, wiec w sumie powinien wystarczyc restart tego proxy aby sprawa wrocila do normy. Sprawdz, calkiem mozliwe ze to to...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  2. #12
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    juz wiem dlaczego porty sa blokowane: moj serwer karmiony jest znieksztalconymi pakietami tak zeby firewall blokowal porty ktorych nie powinien..

    czy ktos tu wie jak przeciwdzialac "packet injection"?

    na googlach niewiele jest na ten temat..

  3. #13
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    Cytat Napisał ds1978 Zobacz post
    juz wiem dlaczego porty sa blokowane: moj serwer karmiony jest znieksztalconymi pakietami tak zeby firewall blokowal porty ktorych nie powinien..

    czy ktos tu wie jak przeciwdzialac "packet injection"?

    na googlach niewiele jest na ten temat..
    a mozesz dac przyklad .. powiedzmy zrzut z tcpdump'a , na którym zniekształcone pakiety się znadą?

    Chciałbym zanzaczyc iz zniekształcone rozumiem jako nieprawidłowe bądź wadliwe, co znacznie się różni od nieprzewidzianych. Tak wiec sa zniekształcone czy nieprzewidziane.
    Zniekształcony przykladowo to:
    1. pakiet z blędną sumą kontrolną
    2. Pakiet gdzie w nagłówku TCP sąustawione flagi SYN i RST , albo wszystkie sa ustawione..
    .
    .

    nieprzewidziane:
    1. Pakiet z ustawioną flagą SYN i ACK nie należacy do poprzednich sesji.
    2. chociazby ICMP reply , w momencie gdy nie wyslalismy request.
    .
    .

    Mam nadzieje ze widac o jakiej obszerności tematyki tu mowa, wizualizacja tych pakietów duzo by pomogla.

    Packet injection to chyba jeszcze co innego, podsyłanie sfałszowanych pakietów do istniejacej i aktywnej sesji.

    tcpdump ...

  4. #14
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    dzieki za te odpowiedz.

    jak sie zapewne domyslasz, nie jestem ekspertem w problemach sieciowych, totez niewiele moge zrobic w tej kwestii sam.

    liczylem na to ze podeslecie mi koledzy regulke iptables ktora powstrzyma te dzialania (przyjmowanie znieksztalconych pakietow tcp co w konsekwencji prowadzi do blokowania portow przez firewall)

    co do zrutow tcpdump: chetnie je dostarcze jesli tylko powicie jaki argumenty podac tcpdump

    pozdr.

  5. #15
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    Cytat Napisał ds1978 Zobacz post
    dzieki za te odpowiedz.

    jak sie zapewne domyslasz, nie jestem ekspertem w problemach sieciowych, totez niewiele moge zrobic w tej kwestii sam.

    liczylem na to ze podeslecie mi koledzy regulke iptables ktora powstrzyma te dzialania (przyjmowanie znieksztalconych pakietow tcp co w konsekwencji prowadzi do blokowania portow przez firewall)

    co do zrutow tcpdump: chetnie je dostarcze jesli tylko powicie jaki argumenty podac tcpdump

    pozdr.
    tcpdump -w nazwa-pliku.dmp -i <interfejs>

    przydaloby sie tez zobaczyc konfiguracje narzedzia ktore dynamicznie ustawia firewalla, tzn. w oparciu o co podejmuje decyzje czy blokowac czy nie.

    Warto tez zwrocic uwage na to co pisal tqm w ostatnim poscie, choc to na zrzucie powinno byc widac.
    Ps. Najlepiej dumpowac w momencie kiedy problem wystepuje.
    pozdrawiam

  6. #16
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    wykonalem:

    tcpdump -w plik -i eth0

    i wyrzucil jakies binaria do pliku, wiec nie sadze ze to cos pomoze

  7. #17
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Kod:
    tcpdump -i eth0 -C 5 -n -q -s 0 -w packet_dump
    -i --- wiadomo
    -C 5 --- tworz pliki po 5MB
    -n --- nie rozwijaj numerow protokolow i nie zastepuj ich nazwami
    -q --- siedz cicho
    -s 0 --- zapisuj caly pakiet a nie tylko pierwsze 96 bajtow
    -w plik --- poczatek nazwy pliku z logiem

    Plik powinien byc binarny i ten plik dalej najwygodniej otwirzyc sobie w Wireshark'u i wtedy bedziesz wiedzial co i jak... filtrami odrzucasz to co Cie nie interesuje i po sprawie. Wielkosc plikow ograniczam celowo do 5MB bo inaczej ciezko sie to pozniej obrabia... wireshark przy zmianie filtra laduje plik od nowa - im wiekszy, tym wolniej. 5MB to jeszcze rozsadna wielkosc...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #18
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    ok, zrobilem jak sugerujesz.

    zrzut tcpdumpa wczytalem do wiresharka, ale nie bardzo wiem czego mam i jak szukac.

    czy ktos moze powiedziec jakie filtry uzyc?

  9. #19
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    jedno co rzuca sie w oczy, to ze prawie wszystkie pakiety na maja zla sume kontrolna (checksum):

    Checksum: 0x1d5b [incorrect, should be 0x8201 (maybe caused by "UDP checksum offload"?)]


    klikajac prawym -> follow UDP stream, dostaje: (zastapilem moja domene domena "mojadomena.com")


    .............195.6.108.218.in-addr.arpa..................195.6.108.218.in-addr.arpa................5.ns1.hzman.net..dns.chin a

    hcn.com.w../..........:..................pantyhousenylons.blog spot.comfeeds..................pantyhousenylons.bl ogspot.comfee

    [email protected].l..........:...Q.0............pantyhous enylons.blogspot.comf

    eeds.mojadomena.com.....0............pantyhousenyl ons.blogspot.comfeeds.mojadomena.com....../.........+.ns1.softlayer.9.root.

    /w.2........,..:.....r............pantyhousenylons. blogspot.comfeeds.....r............pantyhousenylon s.blogspot.comfeeds.....

    [email protected].....:...Q.l'...........pantyhous enylons.blogspot.comfeeds.mo

    jadomena.com.....l'...........pantyhousenylons.blo gspot.comfeeds.mojadomena.com.............Q...B... ./...........ns2.softlaye

    r.9./...........ns1.b.^......3...B.w..z......3...B.v..| ...........195.6.108.218.in-addr.arpa......|...........195.6.108.218.i

    n-addr.arpa................5.ns1.hzman.net..dns.chin ahcn.com.w../..........:......S...........dailyyoutubeblog.blog spot.com..

    ....S...........dailyyoutubeblog.blogspot.com..... .............blogspot.l.google.&.D.........$.c.D.d ns-admin.F..dJ...........

    ....<.............dailyyoutubeblog.blogspot.com... ...............dailyyoutubeblog.blogspot.com...... ............blogspot.l.go

    ogle.&.;.......+..H....D...........a.D.D.......... .f.D.D...........g.D.D...........b.D.D...........e .D.D...........c.D.D.....

    [email protected]
    ...........195.6.108.218.in-addr.arpa.....y
    ...........195.6.108.218.in-addr.arpa................5.ns1.hzman.net..dns.chin ahcn.com.w../..........:......l...........195.6

    .108.218.in-addr.arpa......l...........195.6.108.218.in-addr.arpa................5.ns1.hzman.net..dns.chin ahcn.com.w../......

    ....:..................195.6.108.218.in-addr.arpa..................195.6.108.218.in-addr.arpa................5.ns1.hzman.net.

    .dns.chinahcn.com.w../..........:..................182.37.76.212.in-addr.arpa..................182.37.76.212.in-addr.arpa....

    ..............nat-go2-1.aster.pl..............dns.astercity.net......... .....dns.onet.H.............dns1.\.............L!. .w.

    ..... ........X......D....L

    ..............nat-go2-1.aster.pl..................nat-go2-1.aster.pl................4.dns.astercity.net.
    hostmaster.4w......

    ......:...Q."............nat-go2-1.aster.pl.mojadomena.com....."............nat-go2-1.aster.pl.mojadomena.com................

    +.ns1.softlayer.).root..w.2........,..:......}.... .......nat-go2-1.aster.pl......}[email protected]

    +...L%..............dns.astercity.net............. [email protected]

    .._...........L!..............mail.mojadomena.com. .................mail.mojadomena.com.............. ..+.ns1.softlayer...root.

    .w.2........,..:.....: ...........mail.mojadomena.com.....:

    ...........mail.mojadomena.com.............MH..B.. [email protected] .....3n..B.w..\......3n..

    B.v..8...........mail.mojadomena.com......8....... ....mail.mojadomena.com................+.ns1.softl ayer...root..w.2........,

    ..:......$...........mail.mojadomena.com......$... ........mail.mojadomena.com................+.ns1.s oftlayer...root..w.2.....

    ...,..:..................mail.mojadomena.com...... ............mail.mojadomena.com.............MH..B. ...........L...ns1.softla

    yer...........L...ns2.D.\[email protected] .B.v..............mail.mojadomena.com............. .....mail.mojadomena.com.

    ...............+.ns1.softlayer...root..w.2........ ,..:..................between-thelines.blogspot.com..................betwee

    n-thelines.blogspot.com..................blogspot.l. google.&.D.........$.e.D.dns-admin.F..dJ...............<.1...........betw

    een-thelines.blogspot.com......1...........between-thelines.blogspot.com..................blogspot.l. google.&.;.......
    .

    .H....D.......x...e.D.D.......x...f.D.D.......x... c.D.D.......x...d.D.D.......x...a.D.D.......x...b. D.D.......x...g.D........

    [email protected]
    feedburner.com.....L2...........feeds
    feedburner.com..............S.2.ns.burningdoor..
    hostmaster..w..B... ... ..:....X5............feeds
    feedburner.com.mojadomena.com.....5............fee ds
    feedburner.com.mojadomena.com......!.........+.ns1 .softlayer.+.root.!w.2........,..:.....b.......... ..feeds
    feedburner.com.....b............feeds
    feedburner.com..............%..B.`w.............NS-B.PNAP.NET..............NS-A.G.............NS-D.G.............NS-C.G.]....

    [email protected]^{[email protected]^{[email protected]_=..p...... .`[email protected]_=$.............wantneedhave.blogspot.com.... ..............wantneedhav

    e.blogspot.com..................blogspot.l.google. "[email protected][email protected]<t............wantneedha ve.

    blogspot.com.....t............wantneedhave.blogspo t.com..................blogspot.l.google.".7...... [email protected]@.

    @[email protected]@[email protected]@[email protected]@. [email protected]@[email protected]@[email protected] [email protected]

  10. #20
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tu akurat masz ruch DNS a nie to co by Cie interesowalo... szukaj po portach a nie jak leci.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 2 z 6 PierwszyPierwszy 1234 ... OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52