Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Vietnanka 09. 08. 2023, 14:50:27

Název: Tcpdump nezachytí některé pakety
Přispěvatel: Vietnanka 09. 08. 2023, 14:50:27: Když zachytávám přes su(do) tcpdump se stejným filtrem pakety, tak na androidu mi jich zachytí méně (za stejné období 24 oproti 87)
Proč tomu tak je?

Konkrétně jde o UDP pakety na výpisu s označením nat-isakmp-keepalive : na druhém výpisu z telefonu, chybí. Mělo by jít o IPSec tunel.

Nemůže právě odtud IPSec # Implementations (https://en.m.wikipedia.org/wiki/IPsec#Implementations) vítr vát ? Zde se píše o dvou implementacích stacku. Může nějak to mluvit i následně do toho, co tcpdump/uvidí/zachytí?

Jaké je vysvětlení, že ty pakety tam prostě nejsou? (Pro potvrzení, na routeru jsem capturoval taky i vnější rozhraní a pakety tam viděl, tedy stejný výsledek jako na vnitřením rozhraní)

Jde jen o útržek z logu, nechtěl jsem postovat všech 87 řádků

Kód: [Vybrat]
su -c " tcpdump -ni wlan0 'port 4500 || port 500|| net 62.0.0.0/8 '" -t tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlan0, link-type EN10MB (Ethernet), capture size 262144 bytes IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa child_sa[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa child_sa[R] IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa inf2[I] IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa inf2[R] ^C 24 packets captured 24 packets received by filter 0 packets dropped by kernelNa routeru:
Kód: [Vybrat]
sudo tcpdump -ti eth0 "port 4500 || net 62.0.0.0/8 || port 500" -n IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive 87 packets captured 87 received 0 dropped

Verze na androidu(kde je méně paketů) je :
Kód: [Vybrat]
su -c tcpdump --version tcpdump version 4.9.2 libpcap version 1.9.0-PRE-GIT (with TPACKET_V3) BoringSSL Na routeru: tcpdump --version tcpdump version 4.9.3 libpcap version 1.8.1 OpenSSL 1.1.1d 10 Sep 2019
Název: Re:Tcpdump nezachytí některé pakety
Přispěvatel: jjrsk 09. 08. 2023, 19:44:58: A mas na tom androidu roota? Jde o to, ze normalne ti tcpdump prepne sitovku do promiskuitniho rezimu, coz bez roota neudelas. To ze se tak stalo ti vypise trebas dmesg.
Název: Re:Tcpdump nezachytí některé pakety
Přispěvatel: Vietnanka 28. 08. 2023, 18:06:46: Jistěže ano. Vidím v logu ...entered promiscious mode.
Co mě ale překvapilo, někdy , občas, a vůbec nevím proč, ty pakety android taky zachytí.
Název: Re:Tcpdump nezachytí některé pakety
Přispěvatel: Wasper 28. 08. 2023, 23:19:33: Citace: Vietnamka 09. 08. 2023, 14:50:27
Když zachytávám přes su(do) tcpdump se stejným filtrem pakety, tak na androidu mi jich zachytí méně (za stejné období 24 oproti 87)
Proč tomu tak je?
Tohle znas? Mam pocit, ze to bude relevantni
https://docs.strongswan.org/docs/5.9/support/faq.html