quando il ping perde qualche pacchetto....

[DarkAngel]

facendo un controllo su un mio server NON di produzione ottengo come risposta al ping questi dati:

64 bytes from 111.111.111.111: icmp_seq=2 ttl=245 time=18.5 ms
64 bytes from 111.111.111.111: icmp_seq=4 ttl=245 time=38.5 ms
64 bytes from 111.111.111.111: icmp_seq=6 ttl=245 time=23.6 ms
64 bytes from 111.111.111.111: icmp_seq=10 ttl=245 time=48.3 ms
64 bytes from 111.111.111.111: icmp_seq=11 ttl=245 time=29.3 ms
64 bytes from 111.111.111.111: icmp_seq=12 ttl=245 time=31.5 ms
64 bytes from 111.111.111.111: icmp_seq=14 ttl=245 time=54.2 ms
64 bytes from 111.111.111.111: icmp_seq=15 ttl=245 time=52.1 ms
64 bytes from 111.111.111.111: icmp_seq=19 ttl=245 time=62.1 ms
64 bytes from 111.111.111.111: icmp_seq=21 ttl=245 time=62.0 ms
64 bytes from 111.111.111.111: icmp_seq=23 ttl=245 time=46.0 ms
64 bytes from 111.111.111.111: icmp_seq=31 ttl=245 time=55.8 ms
64 bytes from 111.111.111.111: icmp_seq=32 ttl=245 time=58.8 ms
64 bytes from 111.111.111.111: icmp_seq=33 ttl=245 time=59.7 ms
64 bytes from 111.111.111.111: icmp_seq=35 ttl=245 time=40.7 ms
64 bytes from 111.111.111.111: icmp_seq=41 ttl=245 time=67.6 ms
64 bytes from 111.111.111.111: icmp_seq=43 ttl=245 time=71.5 ms
64 bytes from 111.111.111.111: icmp_seq=44 ttl=245 time=75.5 ms

--- ******************* ping statistics ---
45 packets transmitted, 18 packets received, 60% packet loss
round-trip min/avg/max = 18.5/49.7/75.5 ms

ho pensato fosse la scheda di rete, quindi l'ho sostituita con una nuova di pacca, ma stesso problema... ho pensato fosse un problema del SO, ma è tutto regolare e i log di sistema non rilevano nulla che possa far anche solo sospettare ad un minimo guasto software/hardware...

insomma il server è tutto regolare, ma perde i pacchetti......
secondo voi questo da cosa può dipendere? attacchi dall'esterno? sniffing estremi? tecniche strane di spoofing sulla scheda di rete? mi piacererebbe conoscere il vostro parere a riguardo...

[BianConiglio]

Sniffing non penso....il pacchetto sarebbe filtrato ma poi reindirizzato verso la sua destinazione finale.
Spoofing....na, nemmeno.

Ma il server è locale ? insomma, ti colleghi tramite LAN ?

Non potrebbe essere un problema della gestione del traffico interno ?

[BianConiglio]

Ho fatto una prova....

Esecuzione di Ping 213.145.29.13 con 64 byte di dati:



Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Richiesta scaduta.

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Richiesta scaduta.

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=42ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=42ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=55ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=55ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=42ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246



Statistiche Ping per 213.145.29.13:

Pacchetti: Trasmessi = 64, Ricevuti = 62, Persi = 2 (3% persi),

Tempo approssimativo percorsi andata/ritorno in millisecondi:

Minimo = 27ms, Massimo = 55ms, Medio = 31ms

In questa ne ha persi 2.... in un altra ne ha perso uno..

Probabilmente quando ne perdevi molti avevi un picco di richieste nel server... ora sono le 4.52 di mattina, guarda nei log , se li hai, il traffico che hai ora.... Se perdi molti pachetti potrebbe essere anche un DoS, ma io lo escluderei.. cmq guarda il traffico

Già che c'era ho controllato che l'autenticazione php della webmail non fosse bacata del bug dell' hackme

[kadosh]

Bianco non hai letto bene il Tutorial sugli Sniffer eheheh...in alcuni casi i pacchetti sniffati vengono persi senza esser stati ricevuti dal destinatario, stessa cosa nel caso dello Spoofing, ma solo se fatto sull'IP, mentre se fatto sul DNS i pacchetti ICMP vengono praticamente duplicati.

In questo caso però, non conoscendo la tipologia della rete in cui si trova questo server non me la sento di escludere nulla, posso consigliare a Dark di installarsi WinPCap e poi Analyzer e controllare il flusso dei pacchetti per tutta la rete da e verso quel server in modo da avere una panoramica chiara di quel che succede....byezzz

[Nemok]

Mi autocensuro visto che quell'ip era casuale.....

[DarkAngel]

Bianco non hai letto bene il Tutorial sugli Sniffer eheheh...in alcuni casi i pacchetti sniffati vengono persi senza esser stati ricevuti dal destinatario, stessa cosa nel caso dello Spoofing, ma solo se fatto sull'IP, mentre se fatto sul DNS i pacchetti ICMP vengono praticamente duplicati.

In questo caso però, non conoscendo la tipologia della rete in cui si trova questo server non me la sento di escludere nulla, posso consigliare a Dark di installarsi WinPCap e poi Analyzer e controllare il flusso dei pacchetti per tutta la rete da e verso quel server in modo da avere una panoramica chiara di quel che succede....byezzz

esattamente, infatti io sospetto ci sia stato uno spoofing sul mio IP, in quanto il server anche se non di produzione era presente su un IP fisso.... adesso la cosa sembra essere tornata alla normalità, non perdo nessun pacchetto e il timeout del ping è tornato a valori normali....

WinPCap e Analyzer vanno bene per macchine Microsoft, ma io per i miei server uso solo *NIX, e in particolar modo proprio quel server era un FreeBSD con il kernel patchato per lo sniffing e lo spoofing, nonchè il syslog e l'anti-bufferoverflow.... però la cosa che mi lascia perplesso è che lo spoofing è avvenuto lo stesso nonostante le protezioni, per tanto la tecnica usata è sicuramente una nuova tecnica non ancora resa pubblica o documentata... bhe l'importante è che tutto sia tornato alla normalità...

il numero IP che era riportato me lo ero inventato di sana pianta, per cui le prove che avete effettuato su quell'ip erano inutili, cancellati tale IP dai post.... onde evitare casini...

[kadosh]

Se non è spoofing è Hijacking, una tecnica che permette di introdursi in una connessione operante e prenderne il controllo. Si cerca di causare nella connessione un cosiddetto Stato di Desincronizzazione ovvero uno stato in cui il PC vittima si aspetta un certo tipo di dati in arrivo dalla connessione esistente ed invece questo tipo di dati non arriva o meglio....arriva ma in sequenza diversa e perciò viene rifiutato mentre viene accettato il dato dell'attaccante che simula una sequenza di dati corretta. Questo in breve, se non vogliamo farci notte.
Chi l'ha fatto cmq merita rispetto.....azzz se ne merita eheheh

[BianConiglio]

Hijacking me ne sto occupando ( mi sto informando..nulla di più ) da qualche mesetto.. roba veramente seria..

[DarkAngel]

Se non è spoofing è Hijacking, Chi l'ha fatto cmq merita rispetto.....azzz se ne merita eheheh

indubbiamente merita rispetto perchè la protezione del kernel è contro anche gli Hijacking più conosciuti e non.... però non so se ci è riuscito effettivamente ad operare l'Hijacking in quanto la patch permette alla scheda di rete di rispondere alle richieste, ma ignora automaticamente tutti i pacchetti non conformi....

addirittura la patch del kernel "segna" ogni pacchetto con un ID che varia ogni tot minuti, per tanto se intercetta dei pacchetti con ID sbagliati li ignora automaticamente.... comunque apparentemente sembra che l'hijacking sia stato innocuo, nessun danno, nessuna variazione, nessuna anomalia, nulla di nulla.......... almeno ne sono sicuro al 99,999%, la certezza comunque non è assoluta...

[kadosh]

Usare l'Hijacking significa proprio far apparire come esatto un Flad di datagramma di terze parti, ed invece non esatto o congruente un flag del PC con la connessione, quindi non è in questo modo che puoi scovarlo

[BianConiglio]

Appunto...perchè un eventuale sistema di controllo darà per buoni i pacchetti iniettati dal furbone e per tarocchi quelli giusti...
Bè, cmq ce dà parlarne per giorni. Posterò qualche link appena li riordino.

[DarkAngel]

Usare l'Hijacking significa proprio far apparire come esatto un Flad di datagramma di terze parti, ed invece non esatto o congruente un flag del PC con la connessione, quindi non è in questo modo che puoi scovarlo

certo, sono daccordo con te, ma questo vale solo in condizioni normali, con il kernel patchato per ogni pacchetto viene aggiunto un ID aggiuntivo random, e nessun tranne il kernel sa quale è.... per cui l'hijacking non ha ha avuto effetto.... perchè tutti i pacchetti senza un ID corretto proveniente dall'esterno vengono ignorati...