Bekijk de volledige versie : Сниффер на WL500gp (netflow & tcpdump)
Уважаемые!
имеется Asus WL-500gx (deluxe) и adsl модем Asus AAM6020BI.
задача - на любом из этих устройств надо включить port mirroring (или port span) - т.е. чтобы все пакеты для какого-либо ethernet порта полностью дублировались на другом порту устройства.
понятно что можно для этих целей можно использовать дополнительный hub или управляемый switch, но
хочется сделать это используя какое-либо (все равно) из вышеупомянутых устройств, если такая возможность имеется.
можно ли перевести WL 500gx в режим hub?
благодарю всех откликнувшихся!
Tsvetkov
20-12-2005, 17:08
у asus-a Virtual Server, называеться это port mapping
в режим hub - System Setup - Operation Mode - Access Point
зы RTFM
спасибо за ответ, но в данном случае имелось в виду не tcp/udp port mapping, а ethernet port mirroring (в терминах cisco - span), вот здесь хорошие иллюстрации на эту тему - http://www.cisco.com/warp/public/473/41.html
что касается функционирования wl-500gx в режиме Access Point то в этом случае ethernet порты устройства находятся в режиме switch, но не hub, увы.
если знаете how to - буду признателен,
С уважением,
Андрей
[root@wl500gx root]$ robocfg
Broadcom BCM5325E/536x switch configuration utility
Copyright (C) 2005 Oleg I. Vdovikin
This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.
Usage: robocfg <op> ... <op>
Operations are as below:
show
switch <enable|disable>
port <port_number> [state <enabled|rx_disabled|tx_disabled|disabled>]
[stp none|disable|block|listen|learn|forward] [tag <vlan_tag>]
[media auto|10HD|10FD|100HD|100FD] [mdi-x auto|on|off]
vlan <vlan_number> [ports <ports_list>]
vlans <enable|disable|reset>
Свитч поддерживает spanning tree. Как управлять - более менее понятно. Пробуйте. О результатах расскажите. :)
Tsvetkov
20-12-2005, 21:37
Олег как я понял, человеку пакеты перехватывать надо,
плиз откампили http://www.ethereal.com/. Посильнее
tcpdump будет. Думаю это то что надо человеку. Да
и нам бы пригодилось
Спасибо Вам, Олег, за подсказку, но я пока не разобрался как с помощью robocfg зеркалить траффик на порт, к которому подключена машина со сниффером. буду экпериментировать )
хочу внести ясность - чтобы не было терминологической путаницы )))
The Switched Port Analyzer (SPAN) feature, sometimes called port mirroring or port monitoring, selects network traffic for analysis by a network analyzer such as a SwitchProbe device or other Remote Monitoring (RMON) probe. (http://www.cisco.com/warp/public/473/41.html)
т.е. Spanning Tree Protocol - это как я понимаю - немного из другой области - технология для оптимизации маршрута прохождения пакетов в сети, хотя звучит похоже (((
ethereal как раз и использую - согласен, программа весьма полезная,
видимо мне надо более четко изложить свою задачу:
надо анализировать траффик устройства, которое включено в локальную сеть.
сниффер (ethereal) способен "смотреть" только на тот траффик, который идет через порт машины, на которой сниффер установлен (и winpcap через который он и получает пакеты).
конечно, можно поставить две сетевые карты в эту машину и пропускать таким образом весь траффик транзитом или включить устройство через хаб, или же - самый оптимальный способ - дублировать весь траффик проходящий из порта A на порт B в свитче на порт C - к которому подключена машина с анализатором пакетов.
вот последний вариант и хочется реализовать с WL-500gx )
пока попытаюсь что-нибудь сделать с помощью robocfg )))
Tsvetkov
20-12-2005, 22:58
mumbo - сории, что засумнивался в правильном
ответе и удалил его - привожу как был
Олег как я понял, человеку пакеты перехватывать надо,
плиз откампили http://www.ethereal.com/. Посильнее
tcpdump будет. Думаю это то что надо человеку. Да
и нам бы пригодилось
я думаю тебе надо
robocfg port 1 stp forward tag vlan1
чтот в таком духе
Tsvetkov
20-12-2005, 23:20
Олег ничего не надо компилить ;)
mumbo ставь tcpdump (он захватит пакеты) на WL-500gx
как настроить vlan-ы есть фак (маненький)
Не нужно там tcpdump, действительно порты скорее всего должен быть переведён либо в forward, либо learn.
Я понимаю, что STP, это не то, что требуется, но свитч для поддержки СТП должен иметь возможность пускать всё подряд.
В общем пробуйте, возможно получится. Другого я в любом случае не видел.
Господа данный чип, а именно BCM 5325 просто не поддерживает режим port mirroring. Вланы в данном случае не помогут ни чем. Данный режим как правило поддерживается довольно "тяжелыми" машинами стоимость коих сильно выше WL-500g.
Tsvetkov
27-12-2005, 11:37
MMike вы иммели в веду - BCM5365 - видно не сюдьба
подцепи к делуксу винт и поставь tcpdump и каптурь любой порт
например:
tcpdump -s 0 -i vlan1 -w /tmp/harddisk/test1.txt
и открывай этот файлик ethereal-ом
2 Oleg не могли б вести в прошивку комманду nohup
Господа данный чип, а именно BCM 5325 просто не поддерживает режим port mirroring. Вланы в данном случае не помогут ни чем. Данный режим как правило поддерживается довольно "тяжелыми" машинами стоимость коих сильно выше WL-500g.
BCM536х довольно "тяжёлый". Вы видели документацию к нему? Я нет, за исключением заголовочных файлов. Его функциональность просто огромна. А насчёт мироринг - ну ведь броадкасты он умеет раскидывать на все порты? Для него это просто вопрос фильтрации, механизмы такие вроже бы есть.
5325 гораздо более слабый, ядро у него другое.
У 536х ядро такое же, как у 5380. http://www.broadcom.com/collateral/pb/5380M-PB02-R.pdf
MMike вы иммели в веду - BCM5365 - видно не сюдьба
Нет, я имел ввиду именно 5325 ибо насколько я понимаю втроенный "свичик" сделан именно на нем и сильно сомневаюсь что функционал свича в данной реализации расширен и выведен в "ядро" системы. Сегодня вечером копнусь в своем Асусе, на всякий случай удостоверюсь что не ошибся. Насчет 65го чипа, попробую поискать на "китовых" дисках от Броадкома, может там что-то и есть.
Жаль, что никаких сентенций. :confused: Хоть куда копать? :confused:
Копать - смотреть какие пакеты идут с помощью tcpdump.
Например так tcpdump -i vlan1 -n -vvv port ftp or ftp-data ?
Tsvetkov
22-03-2006, 13:27
скорее
tcpdump -c 100 -s 0 -i vlan1 -w /tmp/harddisk/test.txt
-с -колво пакетов
и открывать Ethereal-ом этот файлик и каптурить все
vladonline
16-06-2006, 11:04
Как сказать tcpdump на роутере на беспроводной трафик?
Ест ьжелание посмотреть что за пакеты бегают..
tcpdump -i имя_интерфейса
vladonline
16-06-2006, 13:39
tcpdump -i имя_интерфейса
vlan1[0]?
нашел.. eth1
Ещё одна странная проблема, трассировка до любого внешнего и внутреннего хоста не проходит без явного указания исходящего IP. tcpdump выдаёт удивительные вещи:
[djet@(none) root]$ tcpdump host 87.250.251.8 -i ppp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
02:41:38.652705 IP 10.111.10.111.33012 > ya.ru.33441: UDP, length: 10
02:41:40.652597 IP 10.111.10.111.33012 > ya.ru.33442: UDP, length: 10, т.е. пакеты уходят с ppp0 с обратным адресом из vlan1.
iptables -F не помогает. С маршрутами тоже должно быть всё в порядке:
[djet@(none) root]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.151.130 10.111.0.17 255.255.255.255 UGH 2 0 0 vlan1
195.14.38.0 10.111.0.17 255.255.255.224 UG 2 0 0 vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
85.21.79.0 10.111.0.17 255.255.255.0 UG 2 0 0 vlan1
10.111.0.0 * 255.255.0.0 U 0 0 0 vlan1
10.0.0.0 10.111.0.17 255.0.0.0 UG 2 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 85.21.0.17 0.0.0.0 UG 0 0 0 ppp0
default 10.111.0.17 0.0.0.0 UG 1 0 0 vlan1
Наткнулся на данную тему, и ттак и не понял удалось ли реализовать port spanning.
Тоже нужно для TMeter чтобы считать весь трафик в сети, даже тот который идет мимо компа с TMeter'ом
Wl500gP, прошивка 1.9.2.7-10
Установлен OpenVPN. Когда-то была необходимость пробрасывать rAdmin-овский порт 4899 через роутер на комп. Но хитро, чтобы это возможно было только через OpenVPN (какая-никакая,а защита компа). Так что через веб-оболочку не подходит
поэтому я добавил в post-firewall правило
iptables -t nat -A PREROUTING -p tcp -s 10.8.0.1/24 --dport 4899 -j DNAT --to-destination 10.100.1.5:4899
было это давно и все работало, потом необходимость отпала, так что когда работать перестало я не знаю, но сейчас не работает. С роутером за это время разве что обновление прошивки происходило..
команда та же, пакеты улавливаются
tcpdump -i tun0 -v
tcpdump: listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
14:54:16.637974 IP (tos 0x0, ttl 128, id 9327, offset 0, flags [DF], length: 4 10.8.0.2.3124 > 10.8.0.1.4899: S [tcp sum ok] 3727616767:3727616767(0) win 16384 <mss 1260,nop,nop,sackOK>
14:54:19.553936 IP (tos 0x0, ttl 128, id 9350, offset 0, flags [DF], length: 4 10.8.0.2.3124 > 10.8.0.1.4899: S [tcp sum ok] 3727616767:3727616767(0) win 16384 <mss 1260,nop,nop,sackOK>
14:54:25.487031 IP (tos 0x0, ttl 128, id 9394, offset 0, flags [DF], length: 4 10.8.0.2.3124 > 10.8.0.1.4899: S [tcp sum ok] 3727616767:3727616767(0) win 16384 <mss 1260,nop,nop,sackOK>
3 packets captured
3 packets received by filter
0 packets dropped by kernel
ну и вот
iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:5190 to:10.100.1.1:5190
VSERVER all -- anywhere 10.72.8.41
NETMAP udp -- anywhere 10.72.8.41 udp spt:6112 10.100.1.0/24
DNAT tcp -- 10.8.0.0/24 anywhere tcp dpt:4899 to:10.100.1.5:4899
В чем я накосячил?
BORODA(C)
08-08-2008, 06:01
У меня похожая ситуация (http://wl500g.info/showthread.php?t=13761). Отключил проброс отдельных портов, но оставил NAT для единственного компа в обе стороны. Проблема ушла. Что делать когда приедет с дачи второй комп - пока не представляю.
боюсь что это мне не подходит..:( у меня используются регулярно 2 компа, в идеале надо пробросить порты и для того и для другого, но я думаю когда один заработает - второй тоже настроится легко.. не могу поянть - ведь работало же все...
колбаскин
08-08-2008, 19:35
вот и у меня таже проблема...порты просто не пробрасываются....
вот и у меня таже проблема...порты просто не пробрасываются....
А ручной проброс разве не работает?
Например так:
iptables -A INPUT -p tcp -m tcp -d $I --dport $P -j ACCEPT
Где $I - нужный внутренний IP адрес, $P - нужный порт.
Не могут порты не пробрасываться - либо Вы не так делаете, либо не тем смотрите.
колбаскин
09-08-2008, 19:58
А ручной проброс разве не работает?
Например так:
iptables -A INPUT -p tcp -m tcp -d $I --dport $P -j ACCEPT
Где $I - нужный внутренний IP адрес, $P - нужный порт.
Не могут порты не пробрасываться - либо Вы не так делаете, либо не тем смотрите.
отдельное спасибо за инструкцию на вашем роутере!
но порт проброшен - программа работает - но при передачи мне файла по netspeaker(это голосовой чат) передача сразу же сбрасывается и мне не могут передавать звук! вообщем на входящее соединение у меня проблема...
отдельное спасибо за инструкцию на вашем роутере!
но порт проброшен - программа работает - но при передачи мне файла по netspeaker(это голосовой чат) передача сразу же сбрасывается и мне не могут передавать звук! вообщем на входящее соединение у меня проблема...
Тогда надо разбираться с тем, куда пакеты пытаются приходить и заворачивать их куда нужно.
Возможно помогут PREROUTING/POSTROUTING в iptables.
колбаскин
09-08-2008, 22:09
Вот пробовал но увы...
iptables -t nat -I PREROUTING -i eth1 -d 91.195.184.10 -p tcp --dport 8765 -j DNAT --to-destination 192.168.0.2:8765
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.0.2 --dport 8765 -j ACCEPT
iptables -I FORWARD -p tcp -m tcp -s 192.168.0.2 --sport 8765 -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -o eth1 -s 192.168.0.2 --sport 8765 -j SNAT --to-source 91.195.184.10:8765
iptables -t nat -I PREROUTING -i eth1 -d 91.195.184.10 -p tcp --dport 8772 -j DNAT --to-destination 192.168.0.2:8772
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.0.2 --dport 8772 -j ACCEPT
iptables -I FORWARD -p tcp -m tcp -s 192.168.0.2 --sport 8772 -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -o eth1 -s 192.168.0.2 --sport 8772 -j SNAT --to-source 91.195.184.10:8772
все также файлы и звук не принимает!
если сетевой кабель включить прямо в компьютер - то все нормально!
Вот пробовал но увы...
iptables -t nat -I PREROUTING -i eth1 -d 91.195.184.10 -p tcp --dport 8765 -j DNAT --to-destination 192.168.0.2:8765
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.0.2 --dport 8765 -j ACCEPT
iptables -I FORWARD -p tcp -m tcp -s 192.168.0.2 --sport 8765 -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -o eth1 -s 192.168.0.2 --sport 8765 -j SNAT --to-source 91.195.184.10:8765
iptables -t nat -I PREROUTING -i eth1 -d 91.195.184.10 -p tcp --dport 8772 -j DNAT --to-destination 192.168.0.2:8772
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.0.2 --dport 8772 -j ACCEPT
iptables -I FORWARD -p tcp -m tcp -s 192.168.0.2 --sport 8772 -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -o eth1 -s 192.168.0.2 --sport 8772 -j SNAT --to-source 91.195.184.10:8772
все также файлы и звук не принимает!
если сетевой кабель включить прямо в компьютер - то все нормально!
Тогда значит пропускной способности Wi-Fi не хватает
А ручной проброс разве не работает?
Например так:
iptables -A INPUT -p tcp -m tcp -d $I --dport $P -j ACCEPT
не работает, но tcpdump-ом ловится иначе
на каждый S приходит ответ R (те. порт получается закрыт)
post-firewall:
#!/bin/sh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 10.8.0.1/24 --dport 4899 -j DNAT --to-destination 10.100.1.5:4899
iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination $4:5190
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
Не могут порты не пробрасываться - либо Вы не так делаете, либо не тем смотрите.
я буду рад выслушать любые идеи. но самое обидное - что работало....
колбаскин
10-08-2008, 11:54
Тогда значит пропускной способности Wi-Fi не хватает
это как... я подозревал что пакеты не туда идут и поэтому сбрасывается соединение...
я же нормально могу передавать звук и файлы,а вот мне не могут... если бы вообще не работало - я бы согласился....
Как на asus wl500gD можно просматривать какой пользователь на каком сайте (адресе) сейчас находится и по какому порту?
tcpdump -i vlan1
а так гугли tcpdump, там все есть
demushkin
26-08-2008, 07:10
Есть WL500gpv2 с прошивкой 0.0.0.3 (только с ней работал WiFi и корбина на момент покупки).
Сейчас понадобилось перекинуть несколько портов во внутреннюю сеть.
Сделал вот такие настройки:
http://heap.www-service.ru/WL500gpv2/Capture_asus_firewall.JPG
http://heap.www-service.ru/WL500gpv2/Capture_asus_NAT.JPG
http://heap.www-service.ru/WL500gpv2/Capture_asus_port_forward.JPG
И все, тишина. Снаружи(внешний статически IP) роутер не пингуется, порты не форвардятся.
На машине 192.168.1.1 тишина:
root@badaboom:~# tcpdump -i eth1 port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
Что я забыл сделать?
demushkin
26-08-2008, 07:32
Порты в корбине не зарезаны.
demushkin
26-08-2008, 08:39
Через Main_AdmStatus_Content.asp залез кое-как.
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options unknown-flags prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options unknown-flags prefix `DROP '
DROP all -- anywhere anywhere
Почему-то не вижу никаких форвардов портов.
Тоже нужно для TMeter чтобы считать весь трафик в сети, даже тот который идет мимо компа с TMeter'ом
да не нужен Вам TMeter! у Вас есть роутер с пингвином, пусть и слегка кастрированным - вот и пользуйтесь им для подсчета! как? да хотя бы с использованием netflow (http://cisco.com/go/netflow)! генерите на роутере netflow скармливать его запущенному на том же роутере softflowd который, кстати, в виде пакета уже есть и будет у Вас решение "2 в 1-м" - ТМ и рядом не стоял! правда лично я вместо softflowd я бы все же предпочел использовать flow-tools (http://www.splintered.net/sw/flow-tools/) или pmacct (http://www.pmacct.net/), но это дело привычки ...
Не нужно там tcpdump, действительно порты скорее всего должен быть переведён либо в forward, либо learn.
Я понимаю, что STP, это не то, что требуется, но свитч для поддержки СТП должен иметь возможность пускать всё подряд.
В общем пробуйте, возможно получится. Другого я в любом случае не видел. Это НЕ так.
Состоянии forward в STP означает, что трафик, приходящий на порт, форвардится по назначению в соответствии с таблицей коммутации.
Состояние learn означает, что в данный момент трафик не форвардится, но строится таблица коммутации свича на основании source- адресов приходящих фреймов.
STP - это совсем не то, что нужно.
Для того, чтобы заработал SPAN, коммутатор должен уметь дублировать любые(и unicast,и multicast) фреймы на указанный порт без использования таблицы коммутации.
Народ, подскажите как перевести роутер в из режима switch в режим hub.
Или как настроить port mirror.
И вообще есть ли такая возможность ?
Ну так Вы определитесь - Вам надо на роутере сниффер, либо на девайсе внутри локалки роутера?
На роутере - ищите любой линуксовый, компилите, если нет в репозитории, и ставьте.
Внутри локалки - поищите темы про IP-TV, там расписано, как один LAN порт перевести в один VLAN с WAN портом.
Возникла конфликтная с провайдером. В офисе через WL520 подключены 2 компьютера трафик лимитированный, IP выделенный. В выходной день компьютеры были отключены, роутер включен. Утром в понедельник не включая компьютеры попросил статистику у провайдера. За каждый выходной день роутер самостоятельно без компьютеров в субботу трафик 93,601 мБ, в воскресенье 104,685 мБ. Это куда в него влезает? Прошивка от Олега. Как посмотреть трафик непосредственно роутера?
Mashiro-sama
18-09-2009, 11:15
Если у роутера реальный внешний ип, то этот трафик запросто мог нагенерироваться со стороны - например кто-нибудь сканировал порты, пытался отбрутфорсить пароль, или банально из хулиганства запинговал.
Если у роутера реальный внешний ип, то этот трафик запросто мог нагенерироваться со стороны - например кто-нибудь сканировал порты, пытался отбрутфорсить пароль, или банально из хулиганства запинговал.
А с роутером Dlink такого не было. И как теперь избежать паразитного трафика? За прошлый месяц трафик с новым WL520 вырос в 3 раза.
А с роутером Dlink такого не было. И как теперь избежать паразитного трафика? За прошлый месяц трафик с новым WL520 вырос в 3 раза.
Может у вас WI-FI не зашифрован и кто-нибудь пользуется вашим инетом нахаляву?
Может у вас WI-FI не зашифрован и кто-нибудь пользуется вашим инетом нахаляву?
Маловероятно, т.к пароль не простой. Да и в радиусе действия WiFi все фирмы с собственным интернетом и сфера их деятельности далека от таких забав.
Запустите на внешнем интерфейсе tcpdump и посмотрите что там кто куда...
В реальном времени можно посмотреть хоть тем же tcpdump
Быть может есть более человеческие способы.
Ну и возможно заказать детализацию, если провайдер ее предоставляет
И если это какой то определенный "негодяй" или например по географическом признаку этот трафик можно выделить, то вполне решаемо.
В реальном времени можно посмотреть хоть тем же tcpdump
Быть может есть более человеческие способы.
Ну и возможно заказать детализацию, если провайдер ее предоставляет
И если это какой то определенный "негодяй" или например по географическом признаку этот трафик можно выделить, то вполне решаемо.
Детализации от провайдера нет. tcpdump показывает активность между компьтером на котором запущен tcpdump и роутером, или чего-то не понял в том что увидел?
Mashiro-sama
18-09-2009, 14:32
Детализации от провайдера нет. tcpdump показывает активность между компьтером на котором запущен tcpdump и роутером, или чего-то не понял в том что увидел?
tcpdump надо на самом роутере запустить, слушать внешний интерфейс.
tcpdump показывает активность между компьтером на котором запущен tcpdump и роутером, или чего-то не понял в том что увидел?
Запускайте примерно так:
tcpdump -i xxx -np
где xxx - имя внешнего интерфейса (зависит от типа подключения и модели роутера), например, eth1, vlan1, ppp0 - если не знаете, какой у вас, покажите, что выводит команда ifconfig на роутере (можете затереть IP и MAC адреса).
Запускайте примерно так:
tcpdump -i xxx -np
где xxx - имя внешнего интерфейса (зависит от типа подключения и модели роутера), например, eth1, vlan1, ppp0 - если не знаете, какой у вас, покажите, что выводит команда ifconfig на роутере (можете затереть IP и MAC адреса).
Пытался запустить с такими параметрами tcpdump -i WL520 -np пишет "Error opening adapter: Операция успешно завершена. (0)" . (У роутера имя WL520)
Понимаю что нужно запустить на роутере и смотреть активность на выделенный IP, но как сделать не пойму. Запускал на компьютере tcpdamp V4.0.0 MicroOLAP для windows.
Пытался запустить с такими параметрами tcpdump -i WL520 -np пишет "Error opening adapter: Операция успешно завершена. (0)" . (У роутера имя WL520)
Понимаю что нужно запустить на роутере и смотреть активность на выделенный IP, но как сделать не пойму. Запускал на компьютере tcpdamp V4.0.0 MicroOLAP для windows.
где xxx - имя внешнего интерфейса (зависит от типа подключения и модели роутера), например, eth1, vlan1, ppp0 - если не знаете, какой у вас, покажите, что выводит команда ifconfig на роутере
Вам же написали что на месте ххх может быть.
Пытался запустить с такими параметрами tcpdump -i WL520 -np пишет "Error opening adapter: Операция успешно завершена. (0)" . (У роутера имя WL520)
Понимаю что нужно запустить на роутере и смотреть активность на выделенный IP, но как сделать не пойму. Запускал на компьютере tcpdamp V4.0.0 MicroOLAP для windows.
Выполните на роутере команду ifconfig и покажите результат - вам тогда подскажут имя интерфейса.
Выполните на роутере команду ifconfig и покажите результат - вам тогда подскажут имя интерфейса.
br0 Link encap:Ethernet HWaddr 00:24:8C:65:BA:BE
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:49584 errors:0 dropped:0 overruns:0 frame:0
TX packets:166640 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8866703 (8.4 MiB) TX bytes:119944000 (114.3 MiB)
eth0 Link encap:Ethernet HWaddr 00:24:8C:65:BA:BE
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:43914 errors:0 dropped:0 overruns:0 frame:0
TX packets:160379 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8559943 (8.1 MiB) TX bytes:114106186 (108.8 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:24:8C:65:BA:BE
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10134 errors:0 dropped:0 overruns:0 frame:1734654
TX packets:108957 errors:167 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1831369 (1.7 MiB) TX bytes:46960643 (44.7 MiB)
Interrupt:13 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:194819 errors:0 dropped:0 overruns:0 frame:0
TX packets:194819 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:17809818 (16.9 MiB) TX bytes:17809818 (16.9 MiB)
vlan0 Link encap:Ethernet HWaddr 00:24:8C:65:BA:BE
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:39667 errors:0 dropped:0 overruns:0 frame:0
TX packets:159630 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7364836 (7.0 MiB) TX bytes:114006525 (108.7 MiB)
vlan1 Link encap:Ethernet HWaddr 00:24:8C:65:BA:BE
inet addr:94.79.59.221 Bcast:94.79.59.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4247 errors:0 dropped:0 overruns:0 frame:0
TX packets:749 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:404655 (395.1 KiB) TX bytes:99661 (97.3 KiB)
wmx0 Link encap:Ethernet HWaddr 00:24:91:3A:CE:73
UP BROADCAST RUNNING MULTICAST MTU:1386 Metric:1
RX packets:67549 errors:0 dropped:0 overruns:0 frame:0
TX packets:72168 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:81666436 (77.8 MiB) TX bytes:24185330 (23.0 MiB)
tcpdump -i vlan1 -n
tcpdump -i vlan1 -n или tcpdump -i vlan1 -np пишет "Error opening adapter: Операция успешно завершена. (0)" :mad:
tcpdump -i vlan1 -n или tcpdump -i vlan1 -np пишет "Error opening adapter: Операция успешно завершена. (0)" :mad: Так на роутере выполнять надо, не на компе!
Так на роутере выполнять надо, не на компе!
Если запускаю на роутере то:sh: tcpdump: not found. Я понимаю, что нужно запустить на роутере, но как туда загнать этот файл или указать путь где он находится? Спасибо за терпение.
Если запускаю на роутере то:sh: tcpdump: not found. Я понимаю, что нужно запустить на роутере, но как туда загнать этот файл или указать путь где он находится? Спасибо за терпение.
Установить:
ipkg install tcpdump
Если запускаю на роутере то:sh: tcpdump: not found. Я понимаю, что нужно запустить на роутере, но как туда загнать этот файл или указать путь где он находится? Спасибо за терпение.
можно взять бинарный файл (http://code.google.com/p/wl500g/downloads/list) и просто положыть скажем в /usr/local/sbin и всё.
Извините, но он и так в прошивке есть:
/usr/sbin/tcpdump
2 evrokz:
Вы как на роутер то, для выполнения комманд, заходите?
Извините, но он и так в прошивке есть:
/usr/sbin/tcpdump
2 evrokz:
Вы как на роутер то, для выполнения комманд, заходите?
В новых версиях - его убрали, места не хватило.
В новых версиях - его убрали, места не хватило. :eek: Ужас! Интересно что же такое "нужное" сожрало место? Лучше бы IP6 и UPnP убрали. :rolleyes:
:eek: Ужас! Интересно что же такое "нужное" сожрало место? Лучше бы IP6 и UPnP убрали. :rolleyes:
accel-pptp, а IPv6 давно нету. А без UPnP народ не может жить.
Извините, но он и так в прошивке есть:
/usr/sbin/tcpdump
2 evrokz:
Вы как на роутер то, для выполнения комманд, заходите?
Пытался 2-мя способами через Telnet и ввод системных команд через home gateway. /usr/sbin/tcpdump-sh: /usr/sbin/tcpdump: not found
Пытался 2-мя способами через Telnet и ввод системных команд через home gateway. /usr/sbin/tcpdump-sh: /usr/sbin/tcpdump: not found Звиняйте, ввел вас в заблуждение, оказывается в новомодных прошивках его отдельно ставить надо :o
Звиняйте, ввел вас в заблуждение, оказывается в новомодных прошивках его отдельно ставить надо :o
Вот бы еще знать как туда всунуть этот tcpdump. Временно использую yota (всунул в USB) настроил на роутере, а то по ночам по прежнему роутер ведет активную деятельность жрет трафик. А нужен местный провайдер, так что проблема осталась.
можно взять бинарный файл (http://code.google.com/p/wl500g/downloads/list) и просто положыть скажем в /usr/local/sbin и всё.
А он туда поместится? У меня для yota файлы загружены.
Так что, теперь там два pptp, может один из них лишний? waveserver, vsftpd и smbd еще следует грохнуть, если еще не грохнули, все равно без внешнего хранилища они не нужны. Но tcpdump, мне кажется следует вернуть!
Соберите прошивку под себя, сделайте так как вам удобней и всё, благо сорцы доступны инструменты также.
2 evrokz
Попробуйте, тем более вам он нужен на время, для устранения проблемы.
Вариант №2 Написать правила iptables (firewall) для своих нужд, резать всё ходить только на 53,80,443... порты, ну или как вам надо.
В инете готовых скриптов которые только поправить тьма.
Здравствуйте, уважаемые форумчане!
Мой провайдер обвинил меня в том, что мой роутер (WL-500gP v1, прошивка 1.9.2.7-10 от Олега) рассылал через WAN "пустые" пакеты без адреса (броадкаст), чем перегрузил коммутаторы и нанес ущерб сети. Мне кажется, что это бред, тем более, что логи, подтверждающие это, провайдер не предоставил. Но тем не менее, хочу поинтересоваться - было ли у кого-то что-то подобное в практике? IP у меня статический.
И еще вопрос - при стандартной настройке перебрасывает ли роутер броадкасты с внутренней сети наружу?
Здравствуйте, уважаемые форумчане!
Мой провайдер обвинил меня в том, что мой роутер (WL-500gP v1, прошивка 1.9.2.7-10 от Олега) рассылал через WAN "пустые" пакеты без адреса (броадкаст), чем перегрузил коммутаторы и нанес ущерб сети. Мне кажется, что это бред, тем более, что логи, подтверждающие это, провайдер не предоставил. Но тем не менее, хочу поинтересоваться - было ли у кого-то что-то подобное в практике? IP у меня статический.
И еще вопрос - при стандартной настройке перебрасывает ли роутер броадкасты с внутренней сети наружу?
А проверить самому никак?
В консоли:
tcpdump -i имя_WAN_интерфейса
Поглядеть, что уходит ОТ роутера вовне.
Можно сгрузить в файл, если там все чисто, то послать провайдеру как доказательство.
Если адрес статический, то получается так?
tcpdump -i vlan1
Если адрес статический, то получается так?
tcpdump -i vlan1
Если это WAN, то да.
Можно еще приписать
tcpdump -i vlan1 |grep 255.255.255.255
Вроде так. Тогда покажет только броадкасты.
theMIROn
11-11-2009, 11:37
Можно еще приписать
tcpdump -i vlan1 |grep 255.255.255.255
Вроде так. Тогда покажет только броадкасты.
не вполне так, вот ту примеры отлова
http://wiz.su/2007/06/14/analiz-setevogo-trafika-s-pomoshhyu-tcpdump/
Уважаемый Vectorm, а если не подскажите будет ли работать без пэкеджа grep то что вы указали не только в отношении tcpdump?
Уважаемый Vectorm, а если не подскажите будет ли работать без пэкеджа grep то что вы указали не только в отношении tcpdump?
Не подскажу, вроде как в прошивке grep нет.
У меня роутера нет, проверить негде.
or
tcpdump -i vlan1 -n -p ip broadcast
А эта команда
tcpdump -i vlan1 -n -p ip broadcast должна показывать и входящие, и исходящие броадкасты?
Кстати, а что означает параметр "-p"? И почему применена фильтрация по ip?
Будет показывать и входящие, и исходящие пакеты.
-p означает, что не нужно переводить интерфейс в "подслушивающий" (promiscuous, не знаю, как это по-русски) режим.
Фильтрация по ip, видимо, потому что предположили, что это ip-пакеты. Можно выбрать вообще все широковещательные ethernet-пакеты, указав просто "broadcast" (или "ether broadcast").
Вообще, man tcpdump (http://linux.die.net/man/8/tcpdump) вам в помощь.
Кстати, роутер вряд ли может перебрасывать широковещательные пакеты изнутри сети наружу, потому что они не маршрутизируемые в принципе. Но он может сам генерировать такие пакеты (имеется в виду, в избыточном количестве, ибо он даже в случае нормальной работы генерирует какое-то небольшое их количество), например, если на нём установлена samba.
А если samba не установлена, то зачем роутеру генерировать броадкаст?
И еще есть одна непонятная вещь: при запуске tcpdump с параметрами:
tcpdump -i vlan1 -n -p ip broadcast в логе бывают и такие строки, совсем не похожие на броадкаст:
07:06:23.786932 IP 91.198.xxx.xxx.35494 > 128.194.60.222.47340: UDP, length: 103 С чем это связано?
Цифры на xxx заменил специально. Роутером входящие пакеты на порт 35494 с внешнего адреса перенаправляются на внутренний, для работы торрента.
И еще есть одна непонятная вещь: при запуске tcpdump с параметрами:
tcpdump -i vlan1 -n -p ip broadcast в логе бывают и такие строки, совсем не похожие на броадкаст:
07:06:23.786932 IP 91.198.xxx.xxx.35494 > 128.194.60.222.47340: UDP, length: 103 С чем это связано?
Цифры на xxx заменил специально. Роутером входящие пакеты на порт 35494 с внешнего адреса перенаправляются на внутренний, для работы торрента.
Значит эти пакеты являются броадкастовыми, только на поименованный список IP (торрент опрашивает пиры оптом).
Но почему это пакеты, исходящие от моего адреса? Торрент, находящийся внутри (на отдельной машине), может опрашивать пиры с любого другого порта. А порт 35494 именно для входящих пиров.
Но почему это пакеты, исходящие от моего адреса? Торрент, находящийся внутри (на отдельной машине), может опрашивать пиры с любого другого порта. А порт 35494 именно для входящих пиров.
Ну х.з., почитайте мануалы по работе протокола bittorrent ;)
И еще есть одна непонятная вещь: при запуске tcpdump с параметрами:
tcpdump -i vlan1 -n -p ip broadcast в логе бывают и такие строки, совсем не похожие на броадкаст:
07:06:23.786932 IP 91.198.xxx.xxx.35494 > 128.194.60.222.47340: UDP, length: 103 С чем это связано?
Цифры на xxx заменил специально. Роутером входящие пакеты на порт 35494 с внешнего адреса перенаправляются на внутренний, для работы торрента.
Как оказалось, в tcpdump (точнее, в libpcap) есть древний баг (даже два бага), который заставляет выражение "ip broadcast" работать совсем неправильно.
Так что либо используйте "ether broadcast", либо указывайте адреса явно: "ip dst host 192.168.1.255 or 192.168.1.0" (это пример для сети 192.168.1.0/24, подставьте вашу).
Кстати, возможно, вам стоит обратить внимание и на мультикастовые (multicast) пакеты, они являются более маршрутизируемыми и могут просачиваться изнутри сети.
И рассмотрите ещё такой вариант: возможно, вы просто чем-то очень сильно загрузили сеть провайдера (торренты, DC, прочие P2P), а провайдерам обычно не нравится, когда отдельные абоненты сильно нагружают сеть, пусть даже и легально. В таком случае провайдер просто может взять причину с потолка и отключить.
да не нужен Вам TMeter! у Вас есть роутер с пингвином, пусть и слегка кастрированным - вот и пользуйтесь им для подсчета! как? да хотя бы с использованием netflow (http://cisco.com/go/netflow)! генерите на роутере netflow скармливать его запущенному на том же роутере softflowd который, кстати, в виде пакета уже есть и будет у Вас решение "2 в 1-м" - ТМ и рядом не стоял! правда лично я вместо softflowd я бы все же предпочел использовать flow-tools (http://www.splintered.net/sw/flow-tools/) или pmacct (http://www.pmacct.net/), но это дело привычки ...
Если не трудно, не могли бы Вы расписать для непродвинутых пользователей алгоритм команд в терминале? По аналогии инструкции для ленивых, дело в том что достаточно проблематично делать что то отталкиваясь от нуля, а тема на данный момент очень интересная. Netflow конечно было бы кошернее :)
к сожалению у меня сейчас нет под рукой асуса, но общий порядок действия примерно такой:
1. ставите опенврт (http://openwrt.org/), дабы пакеты собранные под него 100% работали
2. подключаете через usb внешний винт, именно винт а не флешку, т.к. влешка не расчитана на такое большое кол-во циклов записи/чтения
3. ставите pmacctd (http://www.ipkg.be/package/8069088), настраиваете и начинаете собирать инфу
4. ...
5. profit!
MultiMan
04-03-2010, 20:35
Hi!
никак не могу понять в чем проблема, суть такая:
на прошивке 1.9.2.7-7g все работает нормально, любая другая старшая прошивка "от Олега" не выпускает в интернет FTP, просто перестают аплоадится файлы. Туда уходит первые 512 байт и после чего приложение залипает, обратного ответа нет (смотрел по tpcdump).
Провайдер - Стрим, pppoe.
На прошивке "от энтузиастов" (1.9.2.7-d-r1222) FTP аплоадит нормально но есть и другая проблема, через NAT не пролезают большие входящие пакеты, точнее где то по пути теряются. tcpdump показывает тишину на ppp0.
Например пытаюсь делать аплоад из вне, через порт-форвард, на Трансмишен во внутренней сети. Браузер при этом просто залипает, если смотреть на tcpdump - пакеты не долетают (или tcpdump их не показывает, или они дропаются где в недрах до tcpdump-а). Но замена прошивки на старую - эту проблему решает!.. то есть посредине никто ничего не фильтрует. Проблема именно на стороне роутера.
Почему немогу использовать старую прошивку?... - да потому что ее нет для wl500gpV2... а V1 уже не купить.
Старый роутер wl500g как то нестабильно стал работать и вообще новых прошивок под него уже не будет.
Взял у соседа на время wl500g V1 ... и ведет себя точно (пропадание пакетов) так же как и wl500gpV2... то есть от оборудования не зависит.
Вроде бы там менялся алгоритм работы NAT и FW... может в них что надо подкрутить?
Ну просто безвыходная ситуация... и старое глючит и новое нельзя использовать. :(:(
theMIROn
04-03-2010, 21:59
icmp запрещены? (ping request from wan)
Unlimited
04-03-2010, 22:04
Проблема с большими кадрами 95% бывает изза MTU/MRU, попробуйте изменить их в настройках...
MultiMan
05-03-2010, 08:36
icmp запрещены? (ping request from wan)
разрешены.
# Generated by iptables-save v1.3.8 on Fri Mar 5 10:12:59 2010
*nat
:PREROUTING ACCEPT [27871:3678076]
:POSTROUTING ACCEPT [61743:7930043]
:OUTPUT ACCEPT [1346:83369]
:VSERVER - [0:0]
-A PREROUTING -d 91.77.222.173 -j VSERVER
-A PREROUTING -d 10.0.0.3 -j VSERVER
-A POSTROUTING -s ! 91.77.222.173 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.0.0.3 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -d 192.168.100.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.100.1
-A VSERVER -p tcp -m tcp --dport 9091 -j DNAT --to-destination 192.168.100.45:9091
-A VSERVER -p tcp -m tcp --dport 51413 -j DNAT --to-destination 192.168.100.45:51413
-A VSERVER -p udp -m udp --dport 51413 -j DNAT --to-destination 192.168.100.45:51413
-A VSERVER -p tcp -m tcp --dport 8823 -j DNAT --to-destination 192.168.100.159:23
COMMIT
# Completed on Fri Mar 5 10:12:59 2010
# Generated by iptables-save v1.3.8 on Fri Mar 5 10:12:59 2010
*mangle
:PREROUTING ACCEPT [869622:546030075]
:INPUT ACCEPT [57090:4924396]
:FORWARD ACCEPT [803424:538632402]
:OUTPUT ACCEPT [59696:7866436]
:POSTROUTING ACCEPT [863120:546498846]
COMMIT
# Completed on Fri Mar 5 10:12:59 2010
# Generated by iptables-save v1.3.8 on Fri Mar 5 10:12:59 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [18751:1464551]
:OUTPUT ACCEPT [59683:7863208]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j logdrop
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j logdrop
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j logdrop
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j logdrop
-A FORWARD -i ! br0 -o vlan1 -j logdrop
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j logdrop
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Mar 5 10:12:59 2010
в общем то стандартный такой, без кастом-изменений.
MultiMan
05-03-2010, 08:37
Проблема с большими кадрами 95% бывает изза MTU/MRU, попробуйте изменить их в настройках...
а на что их менять?... для pppoe стоит 1492.
MultiMan
05-03-2010, 08:59
вот это приходит на роутер...
tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 1500 bytes
10:20:28.739890 IP (tos 0x20, ttl 55, id 35905, offset 0, flags [DF], proto TCP (6), length 52) XXXXX.36068 > YYYYYY.9091: S, cksum 0xbd13 (correct), 2597998518:2597998518(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>
10:20:28.741426 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 52) YYYYYY.9091 > XXXXX.36068: S, cksum 0x5d5f (correct), 2099045000:2099045000(0) ack 2597998519 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 4>
10:20:28.757862 IP (tos 0x20, ttl 55, id 35906, offset 0, flags [DF], proto TCP (6), length 40) XXXXX.36068 > YYYYYY.9091: ., cksum 0xb4a2 (correct), ack 1 win 92
10:20:28.759176 IP (tos 0x20, ttl 55, id 35907, offset 0, flags [DF], proto TCP (6), length 289) XXXXX.36068 > YYYYYY.9091: P, cksum 0xd7a7 (correct), 1:250(249) ack 1 win 92
10:20:28.760539 IP (tos 0x0, ttl 63, id 43487, offset 0, flags [DF], proto TCP (6), length 40) YYYYYY.9091 > XXXXX.36068: ., cksum 0xb255 (correct), ack 250 win 432
10:21:18.770703 IP (tos 0x0, ttl 63, id 43488, offset 0, flags [DF], proto TCP (6), length 40) YYYYYY.9091 > XXXXX.36068: F, cksum 0xb254 (correct), 1:1(0) ack 250 win 432
10:21:18.787128 IP (tos 0x20, ttl 55, id 35918, offset 0, flags [DF], proto TCP (6), length 40) XXXXX.36068 > YYYYYY.9091: ., cksum 0xa28c (correct), ack 2 win 92
а вот то что уползает от меня
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 60000 bytes
10:20:29.029425 IP (tos 0x0, ttl 64, id 35905, offset 0, flags [DF], proto TCP (6), length 52)
XXXXX.36068 > YYYYYY.9091: Flags [S], cksum 0xbd13 (correct), seq 2597998518, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0
10:20:29.051762 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 52)
YYYYYY.9091 > XXXXX.36068: Flags [S.], cksum 0x5d5f (correct), seq 2099045000, ack 2597998519, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0
10:20:29.051816 IP (tos 0x0, ttl 64, id 35906, offset 0, flags [DF], proto TCP (6), length 40)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0xb4a2 (correct), ack 1, win 92, length 0
10:20:29.052299 IP (tos 0x0, ttl 64, id 35907, offset 0, flags [DF], proto TCP (6), length 289)
XXXXX.36068 > YYYYYY.9091: Flags [P.], cksum 0x014a (incorrect -> 0xd7a7), ack 1, win 92, length 249
10:20:29.071256 IP (tos 0x0, ttl 55, id 43487, offset 0, flags [DF], proto TCP (6), length 40)
YYYYYY.9091 > XXXXX.36068: Flags [.], cksum 0xb255 (correct), ack 250, win 432, length 0
10:20:30.053593 IP (tos 0x0, ttl 64, id 35908, offset 0, flags [DF], proto TCP (6), length 2960)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0bb9 (incorrect -> 0x396e), ack 1, win 92, length 2920
10:20:30.053613 IP (tos 0x0, ttl 64, id 35910, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x4b48), ack 1, win 92, length 1460
10:20:30.272526 IP (tos 0x0, ttl 64, id 35911, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:20:30.710527 IP (tos 0x0, ttl 64, id 35912, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:20:31.586499 IP (tos 0x0, ttl 64, id 35913, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:20:33.338448 IP (tos 0x0, ttl 64, id 35914, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:20:36.842354 IP (tos 0x0, ttl 64, id 35915, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:20:43.850157 IP (tos 0x0, ttl 64, id 35916, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:20:57.865762 IP (tos 0x0, ttl 64, id 35917, offset 0, flags [DF], proto TCP (6), length 1500)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0x0605 (incorrect -> 0x8705), ack 1, win 92, length 1460
10:21:19.087937 IP (tos 0x0, ttl 55, id 43488, offset 0, flags [DF], proto TCP (6), length 40)
YYYYYY.9091 > XXXXX.36068: Flags [F.], cksum 0xb254 (correct), seq 1, ack 250, win 432, length 0
10:21:19.088161 IP (tos 0x0, ttl 64, id 35918, offset 0, flags [DF], proto TCP (6), length 40)
XXXXX.36068 > YYYYYY.9091: Flags [.], cksum 0xa28c (correct), ack 2, win 92, length 0
то есть все что после пакета 10:20:30.053593 - пропало.
собственно это пакет с POST торрент файлом в трансмишен.
какой то наверное глюк в pppd, но как это вылечить я не знаю :(
Если я правильно понимаю, то flags [DF] - это флаг "don't fragment" - запрещение фрагментации. А пакеты большие, вот и не пролезают без фрагментации.
А 2960 - это вообще какая-то запредельная длина... Это точно ethernet?
MultiMan
05-03-2010, 13:59
конечно же это эзернет.
но что самое подозрительное старые то прошивки лишены этого бага.
или имеют некоторый хак, который потом зачем то отменили.
...почему в старой прошивке матчат пакеты с мсс 1453 и уменьшают его на 1 байт?
походу этот кусок просто не работает
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
MultiMan
05-03-2010, 14:26
кажется я нащупал корень зла.
взятый из мана пример без лишних флагов - помогает.
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --clamp-mss-to-pmtu
теперь вопрос, к сетевых дел мастерам, какого фига оно так делает? и накой лишние флаги в этом правиле?
из разговора по аське с одним спецом:
по существу у тебя рассматриваются пакеты в которых из всех четырех флагов тока син стоит
что не совсем верно
если смотреть тока пакеты с сином то будет работать тока очевидно в одну сторону
к тому кто инициирует коннект
в обратку фиксится не будет
ибо в обратку идет син ак
а он под твое правило не попадет
потому твой рутер знает правильный мсс для соединения, а твоя машина нет, ибо син ак от рутера не пофиксился
ну в смысле не от рутера а от того что за ним у тебя)
MrGalaxy
09-05-2010, 10:25
Кто может подсказать сниффер для прошивки Олега (от энтузиастов)? Надо логировать все пакеты на интерфейсе wan, чтобы вычислить, что имено приводит к спуффингу (http://www.wl500g.info/showthread.php?t=23681).
tshark? Если сможете его собрать.
Вообще можно просто поставить свич на вход и запустить на компе.
Ибо при спуфинг обычно долбят бродкаст пакетами а они на все порты свичей разбегаются.
Может такой вариант подойдет? ;)
Сниффер витой пары из Wi-Fi роутера / DIY или Сделай Сам / Хабрахабр (http://habrahabr.ru/blogs/DIY/90678/)
MrGalaxy
09-05-2010, 16:24
tshark? Если сможете его собрать.
Вообще можно просто поставить свич на вход и запустить на компе.
Ибо при спуфинг обычно долбят бродкаст пакетами а они на все порты свичей разбегаются.
Увы, собирать пакеты я не умею. В этом смысле моя подпись не далека от истины. :D
За спуфинг меня блокировали и тогда, когда компьютер был выключен, поэтому ставить сниффер целесообразно на сам роутер. Да и свитча под рукой нет. Но за идею спасибо!
Может такой вариант подойдет? ;)
Сниффер витой пары из Wi-Fi роутера / DIY или Сделай Сам / Хабрахабр (http://habrahabr.ru/blogs/DIY/90678/)
Как я понимаю, это что-то вроде первого совета, только вместо свитча используются 2 провода с крокодилами. Я думаю, можно облагородить эту конструкцию, применив разветвитель на разъёмах. Вам тоже спасибо, но попробую поискать софтовый сниффер.
В параллельной ветке посоветовали tcpdump поставить. Как считаете, идея стоящая?
Увы, собирать пакеты я не умею. В этом смысле моя подпись не далека от истины. :D
За спуфинг меня блокировали и тогда, когда компьютер был выключен, поэтому ставить сниффер целесообразно на сам роутер. Да и свитча под рукой нет. Но за идею спасибо!
Как я понимаю, это что-то вроде первого совета, только вместо свитча используются 2 провода с крокодилами. Я думаю, можно облагородить эту конструкцию, применив разветвитель на разъёмах. Вам тоже спасибо, но попробую поискать софтовый сниффер.
В параллельной ветке посоветовали tcpdump поставить. Как считаете, идея стоящая?
Можно и ваим способом, хотя самое простое ХАБ на вход, в него персоналку с лайв CD BackTrack Linux http://www.backtrack-linux.org/downloads/ или любым виндовым анализатором что сердцу милее и роутер, поскольку у хаба в отличие от свитча все пакеты идут на все порты, то все и увидите что твориться :cool:
Хм незнаю на сколько дозволено задавать такие вопросы, НО, реально ли открыть доступ к инету через свой роутер и ловить все проходящие пароли? Если да то чем?
Кто может подсказать сниффер для прошивки Олега (от энтузиастов)? Надо логировать все пакеты на интерфейсе wan, чтобы вычислить, что имено приводит к спуффингу (http://www.wl500g.info/showthread.php?t=23681).
tcpdump
Есть в Optware.
Поставил tcpdump
Запускаю с такими параметрами
*tcpdump -X host 192.168.1.133
На выходе похоже получаю дамп только заголовка пакета в 16тиричном виде
Как увидеть содержимое пакета?
theMIROn
30-01-2011, 20:08
man tcpdump
tcpdump -nvvv host xxx.xxx.xxx.xxx
Короче, интересует, есть ли такой функционал, или может можно его добавить? Хотелось бы его использовать для анализа трафика с помощью TMeter. В DD-WRT http://www.tmeter.ru/misc/soho/ это есть, но вот для WL-500g Deluxe, как я понял, таких прошивок нет. :(
Короче, интересует, есть ли такой функционал, или может можно его добавить? Хотелось бы его использовать для анализа трафика с помощью TMeter. В DD-WRT http://www.tmeter.ru/misc/soho/ это есть, но вот для WL-500g Deluxe, как я понял, таких прошивок нет. :(
Как Вы проверяли доступность DD-WRT (http://www.dd-wrt.com/site/support/router-database) для данной модели (http://www.dd-wrt.com/wiki/index.php/Asus_WL-500g_Deluxe)?
Как Вы проверяли доступность DD-WRT (http://www.dd-wrt.com/site/support/router-database) для данной модели (http://www.dd-wrt.com/wiki/index.php/Asus_WL-500g_Deluxe)?
Видимо, как-то криво проверял :)
При вводе wl-500 вылезло только 500gp и 500gp v.2 :D
Спасибо, видимо и прошьюсь тогда DD-WRT. Но все же, любопытства ради, в "Олеговских" прошивках этого нет?
Видимо, как-то криво проверял :)
При вводе wl-500 вылезло только 500gp и 500gp v.2 :D
Спасибо, видимо и прошьюсь тогда DD-WRT. Но все же, любопытства ради, в "Олеговских" прошивках этого нет?
flow-tools (http://wl500g.info/showthread.php?t=22040&highlight=flow) в руки, и вперед (сам не занимаюсь за ненадобностью).
PS: поиск - не модно сейчас разве?
yrij_063
19-08-2011, 18:36
Мультикаст давно поддерживается в прошивке энтузиастов, читаем форум...
tcpdump не работает команда - эт первое что волнует
tcpdump не работает команда - эт первое что волнует
Она прекрасно работает.
Если потратить 5 минут на поиск, то tcpdump чудесным образом обнаружится в репозитории энтузиастов.
Нужно лишь скачать бинарник в роутер.
yrij_063
19-08-2011, 19:38
Если потратить 5 минут на поиск, то tcpdump чудесным образом обнаружится в репозитории энтузиастов.
Нужно лишь скачать бинарник в роутер.
Как добраться до репозитария энтузиастов и как залить бинарик кратко или носом, только не пиннайте..
Cкачал -архивчик tcpdump-3.9.8-mipsel.tgz - это то что надо ? как установить ?
Как добраться до репозитария энтузиастов и как залить бинарик кратко или носом, только не пиннайте..
Cкачал -архивчик tcpdump-3.9.8-mipsel.tgz - это то что надо ? как установить ?
Наверное правильней будет так
ipkg install tcpdump
yrij_063
19-08-2011, 21:06
Наверное правильней будет так
ipkg install tcpdump
не идёт - not found ... куда копать
wget http://wl500g.googlecode.com/files/tcpdump-3.9.8-mipsel.tgz ' вроде что то скачивает но дальше не идёт
не идёт - not found ... куда копать
wget http://wl500g.googlecode.com/files/tcpdump-3.9.8-mipsel.tgz ' вроде что то скачивает но дальше не идёт
Поставь rtn, там уже с прошивкой идет ))
Поставь rtn, там уже с прошивкой идет ))
В -rtn для 320 дылинка нет не только tcpdump'а,
но и более половины остального функционала ... ;)
http://wl500g.info/showthread.php?t=26479
В -rtn для 320 дылинка нет не только tcpdump'а,
но и более половины остального функционала ... ;)
http://wl500g.info/showthread.php?t=26479
) если бы авторы сообщений свое железо указывали...
) если бы авторы сообщений свое железо указывали...
Ну он уже ранее указывал на своё дылинковское железо... :rolleyes:
http://wl500g.info/showpost.php?p=235934&postcount=257 ;)
ready4connect
05-11-2012, 02:05
Парни, поясните ньюбу плз
У меня тут убунта, подконнектил по ссх к своему роутеру wl500gp v2, tcpdump стоит на нем. Мне надо снифнать мой комп в локалке в мое отсутствие.
Набираю в ссх tcpdump -X host 192.168.1.133
Хотелось бы, чтобы он весь траффик снифал с этого внутреннего адреса. Там у меня еще флешка вроде в юсб на 15 гигов воткнута, хз как посмотреть
т.е по итогу желательно видеть просмотр всего, что смотрели с моего компа в каком-то читабельном виде. Подскажите пожалуйста :)
Зачем про убунту написал? Просто не получается копи паст сделать в ССХе
все, перестал путти коннектить. таймаут. кои8р ставлю. =( роутер пингуется, через веб заходит
Что-то починка tcpdump затянулась:
[root@routik root]$ tcpdump
tcpdump: can't load library 'libpcap.so.1.1'
[root@routik root]$ cat /.version
1.9.2.7-rtn-r5110
Что-то починка tcpdump затянулась:
Мне кажется, что сейчас что-то не так у вас, у меня работает. Правда, у меня r5100, может опять сломали...
Мне кажется, что сейчас что-то не так у вас, у меня работает. Правда, у меня r5100, может опять сломали...
Как нетрудно посмотреть с помощью ldd, в нашей сборке libpcap собирается статически. И, список изменений, свободно доступен на гуглкоде.
Как нетрудно посмотреть с помощью ldd, в нашей сборке libpcap собирается статически. И, список изменений, свободно доступен на гуглкоде.
С ldd не знаком, посему так: после 5066 прошивки с сайта http://asus.vectormm.net/rtn/ на моем конкретном роутере выдают:
[root@routik root]$ tcpdump
tcpdump: can't load library 'libpcap.so.1.1'
[root@routik root]$ find / -name "libpcap*"
/opt/lib/opkg/info/libpcap.control
/opt/lib/opkg/info/libpcap.list
/opt/lib/libpcap.so
/opt/lib/libpcap.so.1.3.0
/opt/lib/libpcap.so.1.3
Раньше не писал, потому что до 12.05 что-то было не так (типа загружайтесь не отсюда).
С ldd не знаком, посему так: ...
Посему придётся немного больше освоить командную строку юникс/linux. Например команду which и т.д.
Хинт: Ваш tcpdump не из прошивки.
Посему придётся немного больше освоить командную строку юникс/linux. Например команду which и т.д.
Хинт: Ваш tcpdump не из прошивки.
Великий Гуру как всегда прав:
opkg remove tcpdump все лечит.
Великий Гуру как всегда прав:
opkg remove tcpdump все лечит.
"пессимист - это хорошо информированный оптимист ;)"
Если это был tcpdump из Entware, то вполне возможно что при очередном обновлении транка из репозитория OpenWRT где-то поплыли версии в зависимостях пакетов, и надо было принудительно обновить пакет.
ryzhov_al
14-05-2013, 13:39
Великий Гуру как всегда прав:
opkg remove tcpdump все лечит.
Повторный
opkg install tcpdumpтоже всё лечит. lly прав.
Forester
30-09-2016, 23:58
Может, кто пнет меня в нужном направлении? Почему tcpdump прекрасно работает через ssh, но не могу заставить его запускаться из командной строки в веб интерфейсе роутера? Куда рыть? Как вообще должен выглядеть код? В идеале нужен автоматический запуск tcpdump с параметрами при старте роутера. Мне роутер выдает tcpdump: not found.