1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Android v tcpdump ukazuje komunikaci z jiné sítě
« předchozí další »
Stran: [1]

Android v tcpdump ukazuje komunikaci z jiné sítě

  • 2 Odpovědí
  • 1402 Zhlédnutí

Vietnamka

  • ***
  • 176
    • Zobrazit profil
    • E-mail
Android v tcpdump ukazuje komunikaci z jiné sítě
« kdy: 31. 07. 2023, 19:29:57 »
Všiml jsem si v tcpdump v telefonu (na AP ne ani v dmesg|grep martian) zvláštních paketů v rozsahu 10.x.x.x přestože je v režimu offline. Takovou síť ani na domácí síti nemám(router  ani takový paket nezachytí, ani přes martian, jak tohle vysvětlit).Jako kdyby šlo o pakety patřící do rozsahu rozhraní  rádiového rozhraní rmnetdata1:
Kód: [Vybrat]
  ~ $ su -c ip r                                      
10.1.100.116/30 dev rmnet_data1 proto kernel scope link src 10.1.100.117

0: rmnet_data1: <UP,LOWER_UP> mtu 1280 qdisc htb state UNKNOWN group default qlen 1000                       link/(530)                                          
inet 10.1.100.117/30 scope global rmnet_data1           valid_lft forever preferred_lft forever


su -c logcat  grep 10\\.1 nebo 65 nic neukazuje

Bohužel už to nedokážu nasimulovat
 přes tcpdump -ni wlan0 "udp||arp:
 ale bylo to n+co jako 10.65.něco:random port  > na 10.1.100.117:50020 ..


taky su -c ss -ap |grep 50020 hlásil  TCP - LISTEN  0.0.0.0:50020 users=netmgrd

pro jistotu jsem projeil přes cat /proc/1115/{comm,cmdline} že jde /system/vendor/bin/netmgrd


-Co dělá?
-Proč tcpdump vypsal na wlan0 tento UDP paketu (payload length  45)

-čemu patří port 50020(v tomto kontextu)?
Telefon byl v režimu offline, jen wifina běžela, připojena
-Proč ip adresa rádiového rozhraní prosákla na wlan0?
Je rozhraní skrytě zapnuté? (jsou vidět záhlaví rozhraní rmnet_data... LOWER_UP atd)
Další věc, která je divná, že  v tcpdumpu bylo UDP ale ss hlásí TCP :o

Je fakt smůla, že nynÍ se to nepodaří zachytit.
« Poslední změna: 31. 07. 2023, 20:50:14 od Petr Krčmář »
IP zaznamenána

Reklama

  • * * * * *

MalyTomi

  • *****
  • 532
    • Zobrazit profil
    • E-mail
Re:Android v tcpdump ukazuje komunikaci z jiné sítě
« Odpověď #1 kdy: 31. 07. 2023, 21:20:42 »
nebude to mat suvis s voWifi?
IP zaznamenána

Vietnamka

  • ***
  • 176
    • Zobrazit profil
    • E-mail
Re:Android v tcpdump ukazuje komunikaci z jiné sítě. konečně log
« Odpověď #2 kdy: 01. 08. 2023, 01:03:59 »
Nevim, mozna jo a odpovidalo by to časově.  Tunel (ipsec,wg)má vždy  vnějši a vnitřní "část" (čistý provoz v virt. rozhraní a  zašifrovaný na vnějšim. Něco jako cipherpaylod a plain payload)
Ale. To je UDP na portu 4500.( to vidí i  routr) 


Zahada je ale, proč by se na wlan0 bral tento "čistý provoz". Nenatrefil jsem na hřebíčk?ipsec nerozumim.
Zde je zaznam: jsou tu 2 druhy. A tsky port uz neni 52020 ale 52030
Kód: [Vybrat]
00:42:00.760911 IP (tos 0xb8, ttl 59, id 43617, offset 0, flags [none], proto ESP (50), length 64)            
   10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x15), length 44                              
00:42:15.634648 IP (tos 0xb8, ttl 59, id 49319, offset 0, flags [none], proto ESP (50), length 320)
    10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x16), length 300
00:42:17.433118 IP (tos 0xb8, ttl 59, id 25776, offset 0, flags [none], proto ESP (50), length 352)
    10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x17), length 332
00:42:17.466228 IP (tos 0xb8, ttl 59, id 37040, offset 0, flags [none], proto ESP (50), length 788)
    10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x18), length 768
00:42:17.611056 IP (tos 0xb8, ttl 59, id 20913, offset 0, flags [none], proto ESP (50), length 64)
    10.65.183.200 > 10.15.239.107: ESP(spi=0x78a687f1,seq=0x19), length 44




.....

00:41:02.819643 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44                                
00:41:02.838657 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44                                
00:41:02.858689 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44                                
00:41:02.877737 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44                                
00:41:02.900469 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44                                
00:41:02.929173 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                        
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44                                
00:41:02.936772 IP (tos 0xb8, ttl 54, id 0, offset 0, flags [none], proto UDP (17), length 72)                
    10.65.183.201.20128 > 10.15.239.107.50030: [udp sum ok] UDP, length 44



bug /vlastnost packetfiltru( tcpdump) pokud by platila ta hypotez ze jde o vybaleny ipsec ?
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Android v tcpdump ukazuje komunikaci z jiné sítě