Re: fprobe na vetsinu protokolu, vcetne stp, apod

Fri, 17 Oct 2014 12:46:37 -0700 

On 10/17/14 20:45, Radek Krejča:

no jo, to je prave to, to jsem si kdysi myslel taky. V manualu se totiz ale 
pise toto:



No ano - fprobe je IP-orientovane a v manualu te upozornuji, ze pouzit 
ho na neco jineho neni uplne nejlepsi napad. Ale nezakazuji to, takze to 
asi jde, byt' to nebude zrejme pracovat optimalne.



Vzhledem k tomu, ze pomerne vagni definici "skoro vsechny protokoly" jsi 
konkretizoval jedinnym prikladem - a Spanning Tree Protokol neni 
zalozeny na IP vrstve, mas pouze dve moznosti - vykaslat se na fprobe a 
pouzit neco, co v manualu pred zpracovanim ne-IP protokolu nevaruje, 
nebo fprobe proste pouzit i na ne-IP protokoly - a nebo zmenit svoje 
zadani a ne-IP protokoly z terminu "skoro vsechny protokoly" vynechat.



For the expression syntax, see pcap-filter(7).

No a podle pcap-filter sice jednotlive jsem schopen odchytavat



Vzdyt jsou to (kazda jednotlive) povetsinou celkem jednoduchy a snadno 
pochopitelny podminky. No a do vetsich celku se spojuji uplne prirozene 
pomoci and, or, negace a zavorek.


Co v tom hledas za slozitost ?


Jedina zasadni komplikace, kterou tam ja vidim je, ze rada BPF funkci 
nefunguje dobre na tagovany pakety -  a ty zrovna si prejes zachytavat 
takovany trunk. Na druhou stranu, zrovna prazdny filtr zachytata vsechny 
protokoly dobre a zadan funkce, co ma problemy s tagovanymi pakety v nem 
urcite neni.


Mimochodem, STP pakety chodi netagovane i na trunku.


mi unika jednoduche reseni, proto se ptam zde.



Neunika - co chces zachytavat proste nesmis odfiltrovat. jestli chces 
chytat vsechno, nesmis filtrovat nic.



Pokdu se ukaze, ze nektere takto zachyceen pakety neumi fprobe 
zpracovat, pak je muzes leda odfiltrovat, ale zadnou zmenou filtru 
nemuzes dosahnout aby je najednou zacit zpracovat umel. Ten filtr je 
proste jen predrazena podminka, ktera rika co k fprobe dojde a co ne.




Jit by to kazdopadne melo, videl jsem nfsen, do ktereho posilalo data fprobe a 
byly tam vsechny mozne protokoly.



Asi ti furt nerozumim. Bud' ty protokoly odfiltrujes, a pak te nemuze 
prekvapit, ze tam nejsou, nebo je tam chces mit a pak je nesmis 
odfiltrovat. Zrejme u prikladu ktery zminujes ten filtr ty pakety 
neodfiltrovaval - a protoze rikas, ze tam byly vsechny, znamena to, ze 
byl prazdny.


Nic slozitejsiho v tom podle me neni, ledaze mi neco zasadniho uniklo.

Dan



--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem