Condividi:        

quando il ping perde qualche pacchetto....

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

quando il ping perde qualche pacchetto....

Postdi DarkAngel » 04/09/02 00:45

facendo un controllo su un mio server NON di produzione ottengo come risposta al ping questi dati:

64 bytes from 111.111.111.111: icmp_seq=2 ttl=245 time=18.5 ms
64 bytes from 111.111.111.111: icmp_seq=4 ttl=245 time=38.5 ms
64 bytes from 111.111.111.111: icmp_seq=6 ttl=245 time=23.6 ms
64 bytes from 111.111.111.111: icmp_seq=10 ttl=245 time=48.3 ms
64 bytes from 111.111.111.111: icmp_seq=11 ttl=245 time=29.3 ms
64 bytes from 111.111.111.111: icmp_seq=12 ttl=245 time=31.5 ms
64 bytes from 111.111.111.111: icmp_seq=14 ttl=245 time=54.2 ms
64 bytes from 111.111.111.111: icmp_seq=15 ttl=245 time=52.1 ms
64 bytes from 111.111.111.111: icmp_seq=19 ttl=245 time=62.1 ms
64 bytes from 111.111.111.111: icmp_seq=21 ttl=245 time=62.0 ms
64 bytes from 111.111.111.111: icmp_seq=23 ttl=245 time=46.0 ms
64 bytes from 111.111.111.111: icmp_seq=31 ttl=245 time=55.8 ms
64 bytes from 111.111.111.111: icmp_seq=32 ttl=245 time=58.8 ms
64 bytes from 111.111.111.111: icmp_seq=33 ttl=245 time=59.7 ms
64 bytes from 111.111.111.111: icmp_seq=35 ttl=245 time=40.7 ms
64 bytes from 111.111.111.111: icmp_seq=41 ttl=245 time=67.6 ms
64 bytes from 111.111.111.111: icmp_seq=43 ttl=245 time=71.5 ms
64 bytes from 111.111.111.111: icmp_seq=44 ttl=245 time=75.5 ms

--- ******************* ping statistics ---
45 packets transmitted, 18 packets received, 60% packet loss
round-trip min/avg/max = 18.5/49.7/75.5 ms


ho pensato fosse la scheda di rete, quindi l'ho sostituita con una nuova di pacca, ma stesso problema... ho pensato fosse un problema del SO, ma è tutto regolare e i log di sistema non rilevano nulla che possa far anche solo sospettare ad un minimo guasto software/hardware...

insomma il server è tutto regolare, ma perde i pacchetti......
secondo voi questo da cosa può dipendere? attacchi dall'esterno? sniffing estremi? tecniche strane di spoofing sulla scheda di rete? mi piacererebbe conoscere il vostro parere a riguardo...
Ultima modifica di DarkAngel su 05/09/02 14:39, modificato 1 volte in totale.
DarkAngel
Utente Senior
 
Post: 453
Iscritto il: 09/08/01 01:00

Sponsor
 

Postdi BianConiglio » 04/09/02 03:43

Sniffing non penso....il pacchetto sarebbe filtrato ma poi reindirizzato verso la sua destinazione finale.
Spoofing....na, nemmeno.

Ma il server è locale ? insomma, ti colleghi tramite LAN ?

Non potrebbe essere un problema della gestione del traffico interno ?
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi BianConiglio » 04/09/02 03:52

Ho fatto una prova....



Esecuzione di Ping 213.145.29.13 con 64 byte di dati:



Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Richiesta scaduta.

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Richiesta scaduta.

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=42ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=42ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=55ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=55ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=42ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=28ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=41ms TTL=246

Risposta da 213.145.29.13: byte=64 durata=27ms TTL=246



Statistiche Ping per 213.145.29.13:

Pacchetti: Trasmessi = 64, Ricevuti = 62, Persi = 2 (3% persi),

Tempo approssimativo percorsi andata/ritorno in millisecondi:

Minimo = 27ms, Massimo = 55ms, Medio = 31ms


In questa ne ha persi 2.... in un altra ne ha perso uno..

Probabilmente quando ne perdevi molti avevi un picco di richieste nel server... ora sono le 4.52 di mattina, guarda nei log , se li hai, il traffico che hai ora.... Se perdi molti pachetti potrebbe essere anche un DoS, ma io lo escluderei.. cmq guarda il traffico

Già che c'era ho controllato che l'autenticazione php della webmail non fosse bacata del bug dell' hackme :D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi kadosh » 04/09/02 08:17

Bianco non hai letto bene il Tutorial sugli Sniffer eheheh...in alcuni casi i pacchetti sniffati vengono persi senza esser stati ricevuti dal destinatario, stessa cosa nel caso dello Spoofing, ma solo se fatto sull'IP, mentre se fatto sul DNS i pacchetti ICMP vengono praticamente duplicati.

In questo caso però, non conoscendo la tipologia della rete in cui si trova questo server non me la sento di escludere nulla, posso consigliare a Dark di installarsi WinPCap e poi Analyzer e controllare il flusso dei pacchetti per tutta la rete da e verso quel server in modo da avere una panoramica chiara di quel che succede....byezzz ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi Nemok » 04/09/02 12:01

Mi autocensuro visto che quell'ip era casuale..... :D
Ultima modifica di Nemok su 05/09/02 16:12, modificato 1 volte in totale.
Nel 1968 la potenza operativa di 2 C-64 hanno portato un razzo sulla luna. Oggi la potenza operativa di un Athlon 4000+ viene usata per far girare Windows XP....Qualcosa deve essere andato storto....
--Powered by Debian Sid/unstable on 2.6.10--
Nemok
Utente Senior
 
Post: 1420
Iscritto il: 04/09/01 01:00
Località: Roma

Postdi DarkAngel » 05/09/02 14:48

kadosh ha scritto:Bianco non hai letto bene il Tutorial sugli Sniffer eheheh...in alcuni casi i pacchetti sniffati vengono persi senza esser stati ricevuti dal destinatario, stessa cosa nel caso dello Spoofing, ma solo se fatto sull'IP, mentre se fatto sul DNS i pacchetti ICMP vengono praticamente duplicati.

In questo caso però, non conoscendo la tipologia della rete in cui si trova questo server non me la sento di escludere nulla, posso consigliare a Dark di installarsi WinPCap e poi Analyzer e controllare il flusso dei pacchetti per tutta la rete da e verso quel server in modo da avere una panoramica chiara di quel che succede....byezzz ;)


esattamente, infatti io sospetto ci sia stato uno spoofing sul mio IP, in quanto il server anche se non di produzione era presente su un IP fisso.... adesso la cosa sembra essere tornata alla normalità, non perdo nessun pacchetto e il timeout del ping è tornato a valori normali....

WinPCap e Analyzer vanno bene per macchine Microsoft, ma io per i miei server uso solo *NIX, e in particolar modo proprio quel server era un FreeBSD con il kernel patchato per lo sniffing e lo spoofing, nonchè il syslog e l'anti-bufferoverflow.... però la cosa che mi lascia perplesso è che lo spoofing è avvenuto lo stesso nonostante le protezioni, per tanto la tecnica usata è sicuramente una nuova tecnica non ancora resa pubblica o documentata... bhe l'importante è che tutto sia tornato alla normalità...

il numero IP che era riportato me lo ero inventato di sana pianta, per cui le prove che avete effettuato su quell'ip erano inutili, cancellati tale IP dai post.... onde evitare casini...
DarkAngel
Utente Senior
 
Post: 453
Iscritto il: 09/08/01 01:00

Postdi kadosh » 05/09/02 21:33

Se non è spoofing è Hijacking, una tecnica che permette di introdursi in una connessione operante e prenderne il controllo. Si cerca di causare nella connessione un cosiddetto Stato di Desincronizzazione ovvero uno stato in cui il PC vittima si aspetta un certo tipo di dati in arrivo dalla connessione esistente ed invece questo tipo di dati non arriva o meglio....arriva ma in sequenza diversa e perciò viene rifiutato mentre viene accettato il dato dell'attaccante che simula una sequenza di dati corretta. Questo in breve, se non vogliamo farci notte. ;)
Chi l'ha fatto cmq merita rispetto.....azzz se ne merita eheheh ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi BianConiglio » 05/09/02 22:41

Hijacking me ne sto occupando ( mi sto informando..nulla di più ) da qualche mesetto.. roba veramente seria..
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi DarkAngel » 06/09/02 13:49

kadosh ha scritto:Se non è spoofing è Hijacking, Chi l'ha fatto cmq merita rispetto.....azzz se ne merita eheheh ;)


indubbiamente merita rispetto perchè la protezione del kernel è contro anche gli Hijacking più conosciuti e non.... però non so se ci è riuscito effettivamente ad operare l'Hijacking in quanto la patch permette alla scheda di rete di rispondere alle richieste, ma ignora automaticamente tutti i pacchetti non conformi....

addirittura la patch del kernel "segna" ogni pacchetto con un ID che varia ogni tot minuti, per tanto se intercetta dei pacchetti con ID sbagliati li ignora automaticamente.... comunque apparentemente sembra che l'hijacking sia stato innocuo, nessun danno, nessuna variazione, nessuna anomalia, nulla di nulla.......... almeno ne sono sicuro al 99,999%, la certezza comunque non è assoluta...
DarkAngel
Utente Senior
 
Post: 453
Iscritto il: 09/08/01 01:00

Postdi kadosh » 06/09/02 16:36

Usare l'Hijacking significa proprio far apparire come esatto un Flad di datagramma di terze parti, ed invece non esatto o congruente un flag del PC con la connessione, quindi non è in questo modo che puoi scovarlo ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi BianConiglio » 06/09/02 17:01

Appunto...perchè un eventuale sistema di controllo darà per buoni i pacchetti iniettati dal furbone e per tarocchi quelli giusti...
Bè, cmq ce dà parlarne per giorni. Posterò qualche link appena li riordino.
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi DarkAngel » 06/09/02 17:37

kadosh ha scritto:Usare l'Hijacking significa proprio far apparire come esatto un Flad di datagramma di terze parti, ed invece non esatto o congruente un flag del PC con la connessione, quindi non è in questo modo che puoi scovarlo ;)


certo, sono daccordo con te, ma questo vale solo in condizioni normali, con il kernel patchato per ogni pacchetto viene aggiunto un ID aggiuntivo random, e nessun tranne il kernel sa quale è.... per cui l'hijacking non ha ha avuto effetto.... perchè tutti i pacchetti senza un ID corretto proveniente dall'esterno vengono ignorati...
DarkAngel
Utente Senior
 
Post: 453
Iscritto il: 09/08/01 01:00


Torna a Sicurezza e Privacy


Topic correlati a "quando il ping perde qualche pacchetto....":


Chi c’è in linea

Visitano il forum: Nessuno e 54 ospiti