LINUX.ORG.RU

8
Всего сообщений: 78

не доходит запрос с сервиса на мой сервер по http(s)

free-kassa отправляет запрос на мой сайт, но приходит ошибка
name lookup timed out у них в логах. То есть сервер мой не отвечает.

на моей стороне незнаю по какой пречине это короткое время работало и логи веб сервера успеха были такие:

136.243.38.150 - - [25/May/2021:05:47:38 +0000] "GET /modules/freekassa/status?MERCHANT_ORDER_ID=8&P_PHONE=&P_EMAIL=user1%40usexx.ru&CUR_ID=178&AMOUNT=10&MERCHANT_ID=291871&SIGN=e2e0a223c4212c809390cc6ee587cb37&intid=139955929 HTTP/1.0" 200 566 "https://www.free-kassa.ru" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"


щас не работает в логах пусто.
iptables отключал не помогло.

tcpdump на моем сервере mysite.ru во время оплаты ловит такие данные при обработке платежа на free-kassa
19:34:44.377967 IP 104.21.17.166.https > mysite.ru.39308: Flags [P.], seq 12119:12895, ack 4113, win 78, length 776
19:34:44.378096 IP 104.21.17.166.https > mysite.ru.39308: Flags [P.], seq 12895:12922, ack 4113, win 78, length 27


то есть запрос идет а что его тормозит? как выяснить?

free-kassa как я понял использует cloudflare потому ип меняются и все они принадлежать cloudflare
172.67.177.178, 104.21.17.166, 136.243.38.150

мой сервер
5.4.0-73-generic (Ubuntu 9.3.0-17ubuntu1~20.04)

 

Regacar ()

Собрать дамп tcpdump с подсетей

Доброго дня! Подскажите пожалуйста как собрать на VM дамп трафик из несколько адресов а не с одного адреса? Команда будет выглядеть так? tcpdump -vnni any host 10.1.4.106 host 10.1.4.107 host 10.1.4.108 -w /root/tcmdump_1.pcap

Заранее спасибо.

 , ,

troy856 ()

Дамп сети

Всех приветствую!

Подскажите пожалуйста командой как можно правильно снять дамп сети в течении например 5 минут по определенному порту.

Заранее спасибо!

 , , ,

troy777 ()

как ловить пакеты tcpdump/wireshark после того, как их обработает tcp/ip стек

Насколько я понимаю, tcpdump (и наверное любое приложение пользующееся PF_PACKET сокетом) собирает пакеты до того как они попадуь в TCP/IP стек.

Есть ли возможность ловить пакеты после обработки стеком? На ум приходит только iptables/netfilter правило перенаправляющее пакеты после выхода из стека приложению, но не уверен что это будет работать.

Есть ли какие-то другие способы? Спасибо.

 , , ,

cruz7 ()

Перенаправление stdout tcpdump в wireshark

Видел в интернете кейс удаленного запуска tcpdump через ssh с просмотром дампа в реальном времени на локальной машине в wireshark

ssh user12@192.168.0.13 -S 'sudo tcpdump -i any -w - -s 0' | wireshark -k –i -

Но wireshark выдает: Data written to the pipe is neither in a supported pcap format nor in pcapng format. Please report this to the developers of the program writing to the pipe.

Сталкивался ли кто с такой проблемой? Возможно ли заставить tcpdump выводить в совместимом формате?

 , , ,

NordeN ()

Теряются DNS запросы

Организовал свой DNS на VPS от Amazon.

На своем компе пишу:

root@keer:~$ dig @IP google.com.

; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @IP google.com.
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Во время запроса включил tcpdump на этом же компьютере:

root@keer:~$ tcpdump -vv -e -n -i wlo1 ip dst IP 
tcpdump: listening on wlo1, link-type EN10MB (Ethernet), capture size 262144 bytes
12:52:29.559507 MyMAC > dMAC, ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 64, id 44545, offset 0, flags [none], proto UDP (17), length 72)
    192.168.1.6.42665 > IP.53: [udp sum ok] 10489+ [1au] A? m.m. ar: . OPT UDPsize=4096 (44)
^C
1 packet captured
1 packet received by filter
0 packets dropped by kernel

Т.е. запрос, по сути, отправляется.

На VPS (tcpdump запустил до начала запроса и выключил после ответа о том, что хост недостижим):

root@host:/# tcpdump -vv port 53
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Ничего. В iptables стоит политика ACCEPT, все таблицы пустые.

 , ,

Architector ()

Что за лупбэки видит tcpdump?

Всем привет.

tcpdump ом вижу кучу лупбэков на интерфейсе. Что это значит? От куда они и куда? Куда рыть? Чёто Гугл не особо помогает :)

21:20:27.409263 Loopback, skipCount 0,  invalid (256)
21:20:28.409947 Loopback, skipCount 0,  invalid (256)
21:20:29.409289 Loopback, skipCount 0,  invalid (256)
21:20:30.410284 Loopback, skipCount 0,  invalid (256)
21:20:31.410379 Loopback, skipCount 0,  invalid (256)

 

Spider55 ()

Проверка наличия multicast в сети

Имеется регистратор с функцией мультикаста. ЕЯПП, это значит, что включив этот самый мультикаст, я могу с любой софтины, которая поддерживает воспроизведение по мультикасту, смотреть то, что приходит от регистратора. Установил в регистраторе адрес мультикаста 224.8.7.6, пробую подключатся через vlc 3.0.8 с дебиана udp://@224.8.7.6. ПК и регистратор, разумеется, в одной сети и видят друг друга. В логе такое

main debug: processing request item: udp://224.8.7.6, node: Playlist, skip: 0
main debug: rebuilding array of current - root Playlist
main debug: rebuild done - 1 items, index 0
main debug: starting playback of new item
main debug: resyncing on udp://224.8.7.6
main debug: udp://224.8.7.6 is at 0
main debug: creating new input thread
main debug: Creating an input for 'udp://224.8.7.6'
main debug: selected audio language[0] en
main debug: selected sub language[0] en
main debug: requesting art for new input thread
main debug: using timeshift granularity of 50 MiB
main debug: using default timeshift path
main debug: `udp://@224.8.7.6' gives access `udp' demux `any' path `@224.8.7.6'
main debug: creating demux: access='udp' demux='any' location='@224.8.7.6' file='(null)'
main debug: looking for access_demux module matching "udp": 17 candidates
main debug: looking for meta fetcher module matching "any": 1 candidates
main debug: no access_demux modules matched
lua debug: Trying Lua scripts in /home/yorween/.local/share/vlc/lua/meta/fetcher
main debug: creating access: udp://@224.8.7.6
lua debug: Trying Lua scripts in /usr/lib/x86_64-linux-gnu/vlc/lua/meta/fetcher
main debug: looking for access module matching "udp": 28 candidates
lua debug: Trying Lua scripts in /usr/share/vlc/lua/meta/fetcher
main debug: no meta fetcher modules matched
main debug: looking for art finder module matching "any": 2 candidates
udp debug: opening server=:0 local=224.8.7.6:1234
main debug: net: opening 224.8.7.6 datagram port 1234
main debug: using access module "udp"
main debug: looking for stream_filter module matching "prefetch,cache_block": 26 candidates
prefetch debug: using 16777216 bytes buffer, 16777216 bytes read
main debug: using stream_filter module "prefetch"
main debug: looking for stream_filter module matching "any": 26 candidates
lua debug: Trying Lua scripts in /home/yorween/.local/share/vlc/lua/meta/art
lua debug: Trying Lua scripts in /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art
lua debug: Trying Lua playlist script /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/00_musicbrainz.luac
lua debug: skipping script (unmatched scope) /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/00_musicbrainz.luac
lua debug: Trying Lua playlist script /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/01_googleimage.luac
lua debug: skipping script (unmatched scope) /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/01_googleimage.luac
lua debug: Trying Lua playlist script /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/02_frenchtv.luac
lua debug: skipping script (unmatched scope) /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/02_frenchtv.luac
lua debug: Trying Lua playlist script /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/03_lastfm.luac
lua debug: skipping script (unmatched scope) /usr/lib/x86_64-linux-gnu/vlc/lua/meta/art/03_lastfm.luac
lua debug: Trying Lua scripts in /usr/share/vlc/lua/meta/art
main debug: no art finder modules matched
qt debug: IM: Setting an input

Погуглив ошибки, ничего конкретного не нашел, кроме похожего в багтрекере со статусом пофикшено в версиях vlc 3+. Возможно, не мой случай и вообще, проблема не в vlc, а в неправильной настройке чего-то.

Я хочу попробовать отловить мультикаст пакеты в локалке через tcpdump, но не могу понять, осуществимо это или нет. Например, ip, на который идет мультикаст, не пингуется. Он должен? Или туда просто отдается поток? И каким образом отловить эти мультикаст пакеты чтобы понять, идет трансляция на этот адрес или нет?

 ,

Yorween ()

rootkit или петля?

Предыстория:

Понадобилось переехать с одного сервера (А) на другой (Б), синхронизировал все что нужно, перенастроил и включил переадресацию с сервера А на сервер Б

redir --lport=443 --caddr=<SERVER_B_IP> --cport=443
redir --lport=80 --caddr=<SERVER_B_IP> --cport=80

тем временем хотел начать перенастраивать DNS зоны, но не тут-то было! Сервер Б перестает отвечать: сессия ssh повисла, на ping не отвечает, по http ответов нет. На сервере А убил процессы redir, и сервер Б очухался. Я удивился. Повторил эксперимент и проблема повторилась, спустя пару минут сервер Б перестает отвечать по сети. Load average предельно низкий, дело не в нем. Запросил KVM доступ к серверу Б и увидел, что в момент отрубания от сети сеть на самом деле пропадает на сервере. Написал в ТП, на что они мне ответили:

Из-за большого количества широковещательного трафика на ваш сервер на нашем коммутаторе срабатывает storm control и сетевой порт отключается.
Выключите проксирование.

сообщая также, что именно мой сервер шлет broadcast и посылают меня в tcpdump, где я вижу вот такое https://pastebin.com/tkYgRVsf

iftop показывает вообще какую-то нелепую дичь: https://ibb.co/nMHS82y и это в то время, когда на сервере не запущено никаких служб кроме ssh

при этом netstat -anpA inet не видит никаких коннектов, кроме моего ssh подключения.

Вопрос: что со мной? Меня взломали? Или в сети провайдера петля?

UPD: ОС на сервере CentOS 7, если это имеет значение

Сервер арендуется у firstdedic

 , , , ,

r0ck3r ()

tcpdump в начале работы выплевывает случайные пакеты

Добрый, коллеги!

Есть сервер с Red Hat Enterprise Linux Server release 7.5 (Maipo).

На нем собираю логи по syslog (udp 514), и хочу проверить, приходят ли логи с определенного хоста:

tcpdump -i any -n "src host 10.108.4.12 and dst port 514"

Но tcpdump странно себя ведет - сразу после запуска выкидывает кучу пакетов не имеющих отношения к правилам tcpdump, и уже потом, спустя пару секунд начинает показывать только запрошенные пакеты:

...
14:33:49.594445 IP 172.28.147.30.asr > 172.28.214.16.45644: Flags [.], ack 118188, win 448, options [nop,nop,TS val 3082460849 ecr 3077697599], length 0
14:33:49.594445 IP 172.28.147.30.asr > 172.28.214.16.45644: Flags [.], ack 118188, win 448, options [nop,nop,TS val 3082460849 ecr 3077697599], length 0
14:33:49.594451 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 138842, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
14:33:49.594451 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 138842, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
14:33:49.594455 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 141738, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
14:33:49.594455 IP 172.28.214.19.32090 > 172.28.214.16.49596: Flags [.], ack 141738, win 693, options [nop,nop,TS val 3043467654 ecr 3077697599], length 0
-------- Отсюда идут нужные пакеты
14:33:49.928110 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:49.928110 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:55.128094 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:55.128094 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
14:33:55.128898 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 306
14:33:55.128898 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 306
14:34:00.330235 IP 10.108.4.12.59754 > 10.108.31.15.514: SYSLOG user.notice, length: 270
^C
5693 packets captured
5693 packets received by filter
0 packets dropped by kernel

Зачем он мне показывае все эти 172.28.147.30.asr > 172.28.214.16.45644 если я его не просил?

 ,

skyman ()

Tcpdump не видит пакеты

Возможно вопрос элементарный и ответ очевидный. Но видимо я заработался, что не могу найти ответ.

Есть шлюз. Клиенты. НАТ. Все как обычно. Есть железка, которая одним портом смотрит в интернет (у нее свой интернет), а другим в мою сеть. И стоит она для того, чтоб отправлять некий трафик через него. То есть есть к примеру сеть ХХХ.ХХХ.ХХХ.ХХХ/24, есть мой шлюз 10.0.0.1 и эта железка с адресом 10.0.0.2. Чтоб клиентам всем не добавлять маршрут (неважно, ручками или через dhcp), на моем шлюзе просто сделал правило вида

route add -net XXX.XXX.XXX.XXX netmask 255.255.255.0 gw 10.0.0.2


FORWARD разрешен. Да и вообще все работает. Все замечательно. Но вот мне хотелось кое что проверить и как обычно запустил

tcpdump -i eth0 dst XXX.XXX.XXX.XXX


И.... И ничего. При этом если сбрасывать conntrack, то в какой-то момент tcpdump начинает видеть первые пару пакетов, а потом вновь тишина. Клиенты за nat повторюсь не испытывают проблем. То есть трафик, который должен идти через эту железку(10.0.0.2) идет. Но tcpdump не видит. Как же мне в случае проблем заниматься отладкой? Если я удаляю правило из таблицы маршрутизации, то tcpdump так же начинает видеть входящие пакеты, правда, естественно, они никуда не уходят, потому что без этой железки в эту сеть не попасть.

Возможно это тривиальный вопрос. Но то ли я переработал и не вижу очевидного. ТО ли что-то еще. В интернете тоже не нашел информации, что от правил маршрутизации tcpdump может перестать видеть пакеты.

 ,

as_lan ()

что значит bc.googleusercontent.com в tcpdump?

когда убунту просто включена без прог, пустая. вот это выдается:

IP pc8.33314 > 177.143.198.104.bc.googleusercontent.com.http: Flags S, seq 4135551235, win 111111,
options mss 3210,sackOK,TS val 5123103219 ecr 0,nop,wscale 7, length 0

как заблокировать и повлияет ли на что то?

 

Talnah ()

systemd service для multiple tcpdump

Доброго! Есть необходимость писать несколько дампов с разных хостов в разные файлы.

Решения для одного дампа есть - раз и два.

Можно наплодить таких файлов по числу дампов. Можно попробовать в ExecStart прописать множество tcpdump c & в конце (хз, сработает ли).

Есть ли более удобоваримое решение? Хотелось бы одним файлом описать весь запуск. А еще было бы неплохо описывать каждый дамп своей секцией в файле. Спасибо.

 ,

rusya_rr ()

Пропадают пакеты

Пропадают пакеты 1%, время задержки колбасит от 88 до 155 ms. Теряются на конечной машине с Debian. По tcpdump ничего подозрительного нет. Куда смотреть, как диагностировать?

 , ,

gobot ()

Проблема с использованием фильтров в tcpdump и(или) tshark

Добрый день! Имеется сеть, с нее мне дают зеркало белого трафика (точно не знаю каким способом) на мой сервак, допустим на интерфейс eth5. Команда tcpdump -i eth5 выдает всю кучу трафика, все видно все показывается, но стоит добавить любой фильтр, будь то tcpdump -i eth5 port 80 , или tcpdump -i eth5 host x.x.x.x (где х.х.х.х хост, который 100% там есть!) или же любой другой, то в ответ тишина, будто бы ничего похожего нет. Команды типа tcpdump -i eth5 " vlan and host x.x.x.x", тоже результата не дает. PS команда tcpdump -i eth5 vlan даёт тот же результат что и tcpdump -i eth5.

Кусок трафика с командой tcpdump -i eth5 vlan -vvv

x.x.x.50.http > y.y.y.50.33992: Flags [.], cksum 0x7d12 (correct), seq 1229:2457, ack 518, win 7776, options [nop,nop,TS val 406095669 ecr 173397620], length 1228 17:35:53.399196 IP (tos 0x0, ttl 56, id 22575, offset 0, flags [DF], proto TCP (6), length 1280) x.x.x.50.http > y.y.y.50.33992: Flags [.], cksum 0x0916 (correct), seq 2457:3685, ack 518, win 7776, options [nop,nop,TS val 406095669 ecr 173397620], length 1228 17:35:53.399201 IP (tos 0x0, ttl 56, id 22576, offset 0, flags [DF], proto TCP (6), length 1280) x.x.x.50.http > y.y.y.50.33992: Flags [P.], cksum 0x2877 (correct), seq 3685:4913, ack 518, win 7776, options [nop,nop,TS val 406095669 ecr 173397620], length 1228 17:35:53.399204 IP (tos 0x0, ttl 64, id 49774, offset 0, flags [DF], proto TCP (6), length 52) y.y.y.50.33992 > x.x.x.50.http: Flags [.], cksum 0xd2a5 (correct), seq 518, ack 1229, win 65, options [nop,nop,TS val 173397646 ecr 406095669], length 0 17:35:53.399207 IP (tos 0x0, ttl 63, id 50532, offset 0, flags [none], proto UDP (17), length 1420)

или

5:53.399945 IP (tos 0x10, ttl 64, id 60890, offset 0, flags [DF], proto TCP (6), length 1420) y.y.y.41.ssh > z.z.z.89.54674: Flags [.], cksum 0x3de8 (correct), seq 4682024:4683392, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 1368 17:35:53.399950 IP (tos 0x10, ttl 64, id 60891, offset 0, flags [DF], proto TCP (6), length 84) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0x8f5d (correct), seq 4683392:4683424, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 32 17:35:53.399953 IP (tos 0x10, ttl 64, id 60892, offset 0, flags [DF], proto TCP (6), length 1004) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0xc8e7 (correct), seq 4683424:4684376, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 952 17:35:53.399955 IP (tos 0x10, ttl 64, id 60893, offset 0, flags [DF], proto TCP (6), length 620) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0x9fc6 (correct), seq 4684376:4684944, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 568 17:35:53.399959 IP (tos 0x10, ttl 64, id 60894, offset 0, flags [DF], proto TCP (6), length 540) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0xa024 (correct), seq 4684944:4685432, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 488 17:35:53.399963 IP (tos 0x10, ttl 64, id 60895, offset 0, flags [DF], proto TCP (6), length 268) y.y.y.41.ssh > z.z.z.89.54674: Flags [P.], cksum 0x57ed (correct), seq 4685432:4685648, ack 3081, win 222, options [nop,nop,TS val 894536314 ecr 2014337488], length 216

PPS tcpdump -i eth5 port 80 tcpdump: WARNING: eth5: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth5, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 1762 packets received by filter 1685 packets dropped by kernel

Как видно из последнего, пакеты приходят, но вывода никакого нет.

https://c.radikal.ru/c21/1806/3f/56f9587f92e3.png

 ,

ivanfranko ()

разобрать tcpdump по файлам

Коллеги,

Дано: Файлы с захваченным трафиком VOIP длинной по полчаса.

Задача: Порезать это все на файлики в которых отразить только один звонок и назвать файлик uniqueid.pcap

Замечание: В получасовых сессиях захвата может быть не полный звонк в начале и конце.

 ,

petav ()

Tshark script

Нужен скрипт для tshark, который будет записывать каждые 50 Мб входящего трафика в отдельный файл с названием формата «час:минута:секунда» Ну или хотя бы атрибуты, которые могут мне помочь

 , , ,

mixaso ()

Создать настраиваемый сервис tdump.service в systemd

Здравствуйте, уважаемые форумчане!

Подскажите пожалуйста как реализовать задачу, по созднию настраиваемого сервиса tcpdump.service в systemd, который бы записал трафик с помощью tcpdump с интерфейса eth0.

Создал в /etc/systemd/system файл tcpdump.service


[Unit]
Description=TCPDump service recording

[Service]
Type=notify
WorkingDirectory=/var/lib/tcpdump
EnvironmentFile=/usr/sysconfig/tdump
WatchdogSec=1h
Restart=always 
ExecStart=/usr/sbin/tcpdump -n -i ${IFACE} -s0 -w /root/somefile
ExecStopPost=/usr/bin/mv -f /root/somefile /root/somefile.previous

 , ,

Stageer ()

Tcpdump. Не читает сохраненные дампы при исп-ии фильтров

Добрый день! Проблема заключается в следующем: Имеется несколько серверов (допустим 2) с одинаковым железом, и одинаковым ПО. Оба сервера пишут трафик с помощью утилиты tcpdump

tcpdump -i eth1 -w /trafwrite/traf_

При попытке прочитать файл с использованием фильтра ничего не выдает, например:

файл --traf-- Пишу --tcpdump -r traf--

выдает информацию как положено. Берем любое существующее значение в этом файле (например IP адрес) пишу --tcpdump -r traf host IP--

Вот что выдает reading from file traf, link-type EN10MB (Ethernet) и на этом все.

ПС на другом сервере все работает как надо. ППС libpcap переустанавливал на самые новые/старые итд. tcpdump переустанавливал так же на новые и старые версии. Копировал фалйы с одного (рабочего) сервера на другой. Прошу помочь с данной проблемой

PPPS Всем спасибо! Проблема решена. Помог совет добавить в фильтр vlan and ...

 

ivanfranko ()

Не знаю куда копать при работе с COM портом

Есть утилита tcpdump в которой я могу сказать порт ethernet, а есть аналог для com порта?

 ,

Berluskoni ()