TCP 3-way handshake

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
dienet
Moderator
Posty: 2105
Rejestracja: 2007-07-24, 18:58
Lokalizacja: Racibórz/Rybnik

TCP 3-way handshake

Post autor: dienet »

Hej

Zabawiam się trochę w spoofowanie połączenia z nieistniejącego IP do usługi (ssh) na moim kompie. Komunikacja wygląda tak:

Kod: Zaznacz cały

Wysyłam SYN z ISN z IP który nie odpowie RST:
  IP 13.13.13.13.28071 > 192.168.0.6.1986: Flags [S], seq 560053629, win 5840, length 0
Dostaję ACK i nowego ISN SYN:
  IP 192.168.0.6.1986 > 13.13.13.13.28071: Flags [S.], seq 4085993518, ack 560053630, win 5840, options [mss 1460], length 0
No to odpowiem ACK na ten nowy ISN:
  IP 13.13.13.13.28071 > 192.168.0.6.1986: Flags [.], ack 4085993519, win 5840, length 0
Po tym dostaje coś dziwnego (zwróć uwagę na adresy IP):
  IP 192.168.0.6.1986 > 192.168.0.6.28071: Flags [.], ack 560053630, win 5840, length 0
I moje pytanie jest odnośnie tego ostatniego wpisy. Czemu IP jest moje lokalne? Gdzie się podział 13.13.13.13? Czemu nie ma PSH z powitaniem ssh, tak jak to normalnie wygląda w przypadku połączenia telnetem:

Kod: Zaznacz cały

IP 127.0.0.1.59433 > 127.0.0.1.1986: Flags [S], seq 4116055381, win 32792, options [mss 16396,sackOK,TS val 84124449 ecr 0,nop,wscale 7], length 0
IP 127.0.0.1.1986 > 127.0.0.1.59433: Flags [S.], seq 4113907275, ack 4116055382, win 32768, options [mss 16396,sackOK,TS val 84124449 ecr 84124449,nop,wscale 7], length 0
IP 127.0.0.1.59433 > 127.0.0.1.1986: Flags [.], ack 4113907276, win 257, options [nop,nop,TS val 84124449 ecr 84124449], length 0
IP 127.0.0.1.1986 > 127.0.0.1.59433: Flags [P.], ack 4116055382, win 256, options [nop,nop,TS val 84124463 ecr 84124449], length 21
Może brakuje tych opcji? Jak je ustawić na sokecie typu:

Kod: Zaznacz cały

socket(AF_INET, SOCK_RAW, IPPROTO_TCP)
Jakoś:

Kod: Zaznacz cały

setsockopt(raw_socket, SOL_SOCKET, TCP_MAXSEG, val, sizeof(one))
nie chce działać.
Dzięki za każdą wskazówkę.
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Awatar użytkownika
dienet
Moderator
Posty: 2105
Rejestracja: 2007-07-24, 18:58
Lokalizacja: Racibórz/Rybnik

Re: TCP 3-way handshake

Post autor: dienet »

Wczoraj wpadłem na pomysł, że to co widać wyżej spowodowane jest tym, że komputer odpowiada ACK na moje połączenie i wysyła swój SYN innym interfejsem (wlan0) niż przychodzą moje ACK na jego SYN (lo).
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
chimi
Użytkownik
Posty: 117
Rejestracja: 2005-05-01, 15:49

Re: TCP 3-way handshake

Post autor: chimi »

Pokaż tablicę routingu. I kod najlepiej, to będzie można się pobawić i poeksperymentować.
ODPOWIEDZ