Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Vietnanka 31. 07. 2023, 19:29:57
-
Všiml jsem si v tcpdump v telefonu (na AP ne ani v dmesg|grep martian) zvláštních paketů v rozsahu 10.x.x.x přestože je v režimu offline. Takovou síť ani na domácí síti nemám(router ani takový paket nezachytí, ani přes martian, jak tohle vysvětlit).Jako kdyby šlo o pakety patřící do rozsahu rozhraní rádiového rozhraní rmnetdata1:
~ $ su -c ip r
10.1.100.116/30 dev rmnet_data1 proto kernel scope link src 10.1.100.117
0: rmnet_data1: <UP,LOWER_UP> mtu 1280 qdisc htb state UNKNOWN group default qlen 1000 link/(530)
inet 10.1.100.117/30 scope global rmnet_data1 valid_lft forever preferred_lft forever
su -c logcat grep 10\\.1 nebo 65 nic neukazuje
Bohužel už to nedokážu nasimulovat
přes tcpdump -ni wlan0 "udp||arp:
ale bylo to n+co jako 10.65.něco:random port > na 10.1.100.117:50020 ..
taky su -c ss -ap |grep 50020 hlásil TCP - LISTEN 0.0.0.0:50020 users=netmgrd
pro jistotu jsem projeil přes cat /proc/1115/{comm,cmdline} že jde /system/vendor/bin/netmgrd
-Co dělá?
-Proč tcpdump vypsal na wlan0 tento UDP paketu (payload length 45)
-čemu patří port 50020(v tomto kontextu)?
Telefon byl v režimu offline, jen wifina běžela, připojena
-Proč ip adresa rádiového rozhraní prosákla na wlan0?
Je rozhraní skrytě zapnuté? (jsou vidět záhlaví rozhraní rmnet_data... LOWER_UP atd)
Další věc, která je divná, že v tcpdumpu bylo UDP ale ss hlásí TCP :o
Je fakt smůla, že nynÍ se to nepodaří zachytit.
-
nebude to mat suvis s voWifi?
-
Nevim, mozna jo a odpovidalo by to časově. Tunel (ipsec,wg)má vždy vnějši a vnitřní "část" (čistý provoz v virt. rozhraní a zašifrovaný na vnějšim. Něco jako cipherpaylod a plain payload)
Ale. To je UDP na portu 4500.( to vidí i routr)
Zahada je ale, proč by se na wlan0 bral tento "čistý provoz". Nenatrefil jsem na hřebíč (https://en.m.wikipedia.org/wiki/IPsec#Implementations)k?ipsec nerozumim.
Zde je zaznam: jsou tu 2 druhy. A tsky port uz neni 52020 ale 52030
00:42:00.760911 IP (tos 0xb8, ttl 59, id 43617, offset 0, flags [none], proto ESP (50), length 64)
10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x15), length 44
00:42:15.634648 IP (tos 0xb8, ttl 59, id 49319, offset 0, flags [none], proto ESP (50), length 320)
10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x16), length 300
00:42:17.433118 IP (tos 0xb8, ttl 59, id 25776, offset 0, flags [none], proto ESP (50), length 352)
10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x17), length 332
00:42:17.466228 IP (tos 0xb8, ttl 59, id 37040, offset 0, flags [none], proto ESP (50), length 788)
10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x18), length 768
00:42:17.611056 IP (tos 0xb8, ttl 59, id 20913, offset 0, flags [none], proto ESP (50), length 64)
10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x19), length 44
.....
00:41:02.819643 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
00:41:02.838657 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
00:41:02.858689 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
00:41:02.877737 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
00:41:02.900469 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
00:41:02.929173 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
00:41:02.936772 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)
10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44
bug /vlastnost packetfiltru( tcpdump) pokud by platila ta hypotez ze jde o vybaleny ipsec ?