Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
[ Закрыто ] Встроенный фаерволл в Windows 7, Дропнутый пакет пролез в систему?
 
Не верю глазам своим: дропнутый фаерволлом пакет пролез в систему?
Система Windows 7, встроенный фаерволл настроен по дефолту, постоянно скачивает обновления, смотрю своим простеньким сниффером - стучатся на мои системные порты, смотрю лог фаерволла - эти пакеты вроде фаерволл дропает! Как такое может быть?
 
я правильно понимаю, что Вы установили очередную из "бет"? Вроде как официального релиза ещё нет. Чему Вы тогда удивляетесь? Если уж так хочется - свяжитесь с тех. поддержкой Мелкософта и сообщите об обнаруженном глюке.
 
Да, первая публичная бэта 6.1 7000, скачал где-то после нового года, как подключаюсь - качает обновления, благо безлимитка. Удивляюсь огромному количеству установок этих бэт, и сколько из них ходит в Интернет через USB ADSL модем, как в моём случае, и беззащитны.
Насчёт техподдержки Мелкософта - пробовал сунуться, там всё на буржуйском, не осилил.
 
Ну, "беззащитны" - это, конечно, громко сказано.  :) Да и встроенный файрволл в любой Винде народ традиционно не жалует.  ;) Так что, по видимому, придётся по старинке. Аутпостом.  :)
 
2 SOLDIER
Причмокивая Аутпост ничего не обеспечивает......Сергей Гордейчик

Вообще возникает масса вопросов
 
Цитата
Acid пишет:
2 SOLDIER
Причмокивая Аутпост ничего не обеспечивает......Сергей Гордейчик

Вообще возникает масса вопросов

Вполне возможно. Тем не менее, как видно из снапшота - встроенный Виндовый ничуть не лучше. По крайней мере - в бете.  ;)
 
Цитата
Мансур Валиев пишет:
Не верю глазам своим: дропнутый фаерволлом пакет пролез в систему?
-snip-
смотрю своим простеньким сниффером
Мансур. Вы знакомы с принципом работы пакетного сниффера?
Пакетный сниффер смотрит сырые данные на интерфейсе. Ему нет никакого дела до того, как ОС будет их обрабатывать. Мало того, сниффер вполне может видеть пакеты, вообще не предназначенные для Вашего хоста, а "пролетающие" мимо. Это в том случае, если Вашем сегменте сети есть еще работающие хосты.
Так что то, что Вы видите, абсолютно закономерно.
В частности это подтверждается тем, что получены 3 SYN пакета с одинаковым ack number и не было ни одного SYN/ACK или RST или ICMP ответа. Ведь если бы файервол пропустил SYN пакет в windoze, то она непременно бы так или иначе ответила.

Расслабьтесь (:

ЗЫ: а SOLDIERу с Acidом, по идее, должно быть стыдно ((:
Изменено: RU_LIDS - 13.04.2009 13:55:58
 
Абсолютно не стыдно. :) Более того - мне глубоко по фигу.
 
Дело в том что это мой, самодельный сниффер, и как он работает я в курсе. И утверждаю, что если бы на конкретный 445/tcp порт данного интерфейса был прибинден сокет, причём не обязательно RAW сокет, сокет подучил бы данный якобы дропнутый пакет, а этого не должно быть, иначе это огромная дыра в безопасности.
 
А ACID - скубент. Ему тем более не стыдно.  :)  У него само понятие этого отсутствует.
 
Цитата
Мансур Валиев пишет:
Да, первая публичная бэта 6.1 7000, скачал где-то после нового года, как подключаюсь - качает обновления, благо безлимитка. Удивляюсь огромному количеству установок этих бэт, и сколько из них ходит в Интернет через USB ADSL модем, как в моём случае, и беззащитны.

Насчёт техподдержки Мелкософта - пробовал сунуться, там всё на буржуйском, не осилил.
Совсем недавно читал на http://4sysops.com/ о том, что все преимущества на сборке Windows 7 Beta1 (сборка 7000) - ещё не осуществлены. Не шарю в аглицком, потому конкретно и подробно не скажу, но в двух словах:
они предлагают server 2008 с клиентами под Windows 7 - как наиболее благоприятную в плане безопасности связку. При этом несколько новшеств пока не реализованы в системе, хотя аналитики Гарнер Гроуп утверждают, что система не нуждается в сервис паках и является максимально стабильной и защищёной. Ещё один нюанс который потребует дополнительных капиталовложений для использования всех преимуществ такой связки, где сервер 2008 а клиенты вин севен - это наличие на сервере двух сетевых карт для обеспечения работы DirectAcess.
Хотя, эээ - несколько не по теме.
 
Я и предлагаю тем "кто шарит в аглицком" довести до сведения буржуйской публики, предварительно воспроизведя ситуацию, возможно с другими снифферами. А то мужики то и не знают...
 
Ну, главное, то мы уловили.
Я в силу не высокой компетенции, говорить конкретно не могу. Но насколько успел ознакомиться с принципами работы, вернее использования снифера и сканирования вообще, то на мой взгляд большого внимания заслуживает комментарий RU_LIDS.
Венда не отвечает. Но ведь только по ответам сканер\сниффер определяет сервис и т.д?
 
Я показал Ваше сообщение одному знакомому, который имеет отношение к корпорации Мелкософт. Вот его ответ
Цитата

беты для того и используются, чтобы баги на стадии тестирования выявлять (к слову, в бете "семерки" очень удобная тула для репорта о проблемах)
 
2 SOLDIER

Ну не скубент давно. Но ты прав мне не стыдно

2 RU_LIDS

Я написал сообщение SOLDIER да решением проблемы не занимался и сам скрин не узучал но есть сноска на то что возникает масса вопросов по полуцченному скрину.

Скучно и не интересно. Тем более тестировать продукт который не будет иметь успех на рынке работая на дядю уже Стива за просто так тестирую его продукты.
Даже академического интереса не вызывает так как видна иглоподсажывание народа на продукты Microsoft.
Вот так вот скубент стал ACID.
Так что в компанию Microsoft я не стремлюсь работать, потому что мы не сошлись понятиями. Гнобить её не стану. Но отмечу что работать с Майкрософт становиться все хуже и хуже. Потому как прошел период когда покупатель выигрывал от конкуренции, так как конкуренции на рынке практически нет.
 
Цитата
Мансур Валиев пишет:
Дело в том что это мой, самодельный сниффер, и как он работает я в курсе.
Да вот я то не в курсе! Вы уж просветите меня на этот счет. Ваш "самодельный" сниффер переводит интерфейс в promiscuous mode?
Цитата
Мансур Валиев пишет:
И утверждаю, что если бы на конкретный 445/tcp порт данного интерфейса был прибинден сокет, причём не обязательно RAW сокет, сокет подучил бы данный якобы дропнутый пакет.
Опять же, поделитесь данными, на основании которых Вы это утверждаете! Может быть Вы провели реверс-инжиниринг встроенного виндозного файрволла и знаете какие вызовы каких библиотек он перехватывает?
Цитата
Мансур Валиев пишет:
Я и предлагаю тем "кто шарит в аглицком" довести до сведения буржуйской публики, предварительно воспроизведя ситуацию, возможно с другими снифферами. А то мужики то и не знают...
Для подобных смелых утверждений нужны четкие технические доказательства. Вы не находите? А мы их до сих пор не увидели.
Мало того, Вы мне не ответили по поводу моего соображения:
Цитата
RU_LIDS пишет:
В частности это подтверждается тем, что получены 3 SYN пакета с одинаковым ack number и не было ни одного SYN/ACK или RST или ICMP ответа. Ведь если бы файервол пропустил SYN пакет в windoze, то она непременно бы так или иначе ответила.

ЗЫ: Как сказал один небезызвестный бравый солдат - "Когда человек куда-нибудь лезет, он должен  знать,  что  вокруг происходит,  чтобы не сесть в лужу, называемую катастрофой." (С) Ярослав Гашек.
 
To RU_LIDS
Цитата
Да вот я то не в курсе! Вы уж просветите меня на этот счет. Ваш "самодельный" сниффер переводит интерфейс в promiscuous mode?

Да, создаётся сырой сокет, переводится promiscuous mode, биндится к интерфейсу и принимает пакеты с этого интерфейса.

Цитата
Опять же, поделитесь данными, на основании которых Вы это утверждаете! Может быть Вы провели реверс-инжиниринг встроенного виндозного файрволла и знаете какие вызовы каких библиотек он перехватывает?

Нет, ничего этого не знаю и знать не хочу, просто читаю лог-файл, где написано, что конкретный пакет дропнут, и сравниваю с показаниями сниффера, где этот дропнутый пакет принят, скопирован в рабочий буфер, декодирован и выдан на экран.

Цитата
Для подобных смелых утверждений нужны четкие технические доказательства. Вы не находите? А мы их до сих пор не увидели.
Мало того, Вы мне не ответили по поводу моего соображения:

Это моё упущение, исправляюсь.
Во первых, этот простенький сниффер на данном интерфейсе видит только входящие пакеты, такая конструктивная особенность.
Во вторых, это и не суть важно, что не ответили на SYN пакеты, возможно, исходящие пакеты фаерволл таки дропает не понарошку, но это уже проблема руткита или троянчика.
В третьих, ещё раз утверждаю что тот , кто захотел бы принять этот пакет, мог создать обыкновенный TCP сокет (даже без прав администратора), прибиндить его к интерфейсу/порту 445 и прочитать.
 
2 SOLDIER
Я показал Ваше сообщение одному знакомому, который имеет отношение к корпорации Мелкософт. Вот его ответ: Цитата беты для того и используются, чтобы баги на стадии тестирования выявлять (к слову, в бете "семерки" очень удобная тула для репорта о проблемах)

Да, первым делом нажал "Send Feedback", а там галочки типа что понравилось, что нет, и читать эти фидбеки никто не собирается, это видно сразу. Запостил на форум "Technet.ru/Windows 7", так там прямо в FAQ написано что предложения обыкновенных бета-тестеров (в смысле не привилегированных) не влияют на ход разработки Windows 7.
 
Мансур. Я потому весь этот флейм затеял, что мне не понятно на чем основано это Ваше утверждение:
Цитата
Мансур Валиев пишет:
В третьих, ещё раз утверждаю что тот , кто захотел бы принять этот пакет, мог создать обыкновенный TCP сокет (даже без прав администратора), прибиндить его к интерфейсу/порту 445 и прочитать.
В нормальной ситуации он там ничего не прочитает. Ведь то, что видит Ваш сниффер в промиск режиме, на сокет попадает ТОЛЬКО ЕСЛИ разрешено в файерволе и адресовано этому IP и этому порту, на котором сокет.

Цитата
Мансур Валиев пишет:
Да, создаётся сырой сокет, переводится promiscuous mode, биндится к интерфейсу и принимает пакеты с этого интерфейса.
Я не силен в виндозе, но по аналогии с linux, для работы с сырыми пакетами нужно поставить libpcap (в виндозе winpcap). Для работы с libpcap нужны права рута.

Цитата
Мансур Валиев пишет:
это и не суть важно, что не ответили на SYN пакеты, возможно, исходящие пакеты фаерволл таки дропает не понарошку, но это уже проблема руткита или троянчика.
А вот это полный абсурд. В том то и дело, что пакет дропается на самом деле. Если бы пакет пришел на закрытый порт, то был бы ответ RST, если на listen, то в ответ был бы SYN/ACK.

Очень похоже, что Вы пытаетесь заново изобрести Wormhole-tunneling с помощью PCAP
 
2 RU_LIDS
Цитата
Мансур. Я потому весь этот флейм затеял, что мне не понятно на чем основано это Ваше утверждение:
Цитата
Мансур Валиев пишет:
В третьих, ещё раз утверждаю что тот , кто захотел бы принять этот пакет, мог создать обыкновенный TCP сокет (даже без прав администратора), прибиндить его к интерфейсу/порту 445 и прочитать.

Потому-что я увидел этот пакет на сокете, в Винде для работы с сокетами не нужны никакие сторонние библиотеки, как впрочем и в Линуксе.
Именно этот пакет с этого IP адреса был послан именно на мой IP адрес и системный порт 445/tcp, так-что для получения именно этого пакета не нужны права администратора, нужно лишь создать обыкновенный TCP сокет, привязать (прибиндить) его к этому интерфейсу и получить (прочитать) пакет из сокета, скопировать его в рабочий буфер и разложить по полочкам.
Наша дискуссия заходит в тупик наверное потому, что сокеты - это всего лишь абстракция, пакет всё равно читается драйвером, и чтобы лучше со всем этим разобраться я создал анналогичную ветку на RSDN в форуме "Сокеты...", надеюсь тамошние гуру заинтересуются и что-нибудь прояснится.
С уважением Мансур Валиев.
Страницы: 1 2 След.
Читают тему (гостей: 13)