جزئیات ضبط بیشتر | Weberblog.net

در پست قبلی ، من PCAP Ultimate خود را منتشر کردم که شامل تمام pcap های من تا کنون در وبلاگ من است. اما این همه چیز نیست: من چند بسته در آنجا هستم که تاکنون منتشر نشده اند. یعنی ، در اینجا جزئیات بیشتری درباره آن پروتکل (احتمالاً شناخته شده) وجود دارد . اینها عبارتند از:

DNS Dynamic Update

(برای اینکه روتر منزل شما با DynDNS اشتباه نشود.) من سه RR (A، AAAA، PTR) را به سرور معتبر DNS خود بروز دادم. در حالی که سرور من معتبر است و در درخت جهانی DNS برای "ib-unsigned.weberdns.de" وجود دارد ، کاملاً بدیهی نیست که در درخت DNS بلوک آدرس IPv4 برای اسناد موجود باشد (RFC 5737) ، 198.51.100.0/24. از این رو مجبور شدم سرور را به صورت دستی تنظیم کنم.

این همان چیزی است که به روزرسانی ها در Wireshark به نظر می رسند:

به روزرسانی پویا Wireshark DNS

IPv6 Router Advertising (RA) با RDNSS و DNSSL

تبلیغات روتر گزینه سرور DNS و گزینه لیست جستجوی DNS (البته همراه با اطلاعات پیش فرض پیش فرض). همچنین ، زمان دلتا (جعبه مشخص قرمز ، ستون سفارشی در Wireshark) را توجه کنید زیرا به طور تصادفی بین 19-60 ثانیه متفاوت است زیرا من به صورت دستی آن مقادیر min و max را پیکربندی کردم. (با توجه به RFC 4861 ، حداقل باید 0.33 * حداکثر باشد.)

Wireshark RA با RDNSS و DNSSL

DHCPv6 prefix Delegation

روتر به روتر مکالمه از طریق DHCPv6-PD که در آن روتر پایین دست درخواست پیشوند . در مورد من ، این یک / 56 می شود:

Wireshark DHCPv6 نمایندگی پیشوند

Telnet

اوه ، صبر کنید ، چه؟ بله ، Telnet است. به خاطر کامل بودن. نه به خاطر اینکه من از آن استفاده می کنم ، بلکه به این دلیل که هنوز زنده است. TCP Stream را دنبال کنید و می توانید همه چیز ، از جمله رمز ورود را ببینید. آخ. به سال 2020 خوش آمدید.))

Wireshark Telnet Packet List
Wireshark Telnet Follow TCP Stream

Encapsulation Generating Routing (GRE) [GRE65]

پروتکل تونل سازی که از سیسکو شناخته شده است اما توسط سایر فروشندگان و همچنین استفاده می شود. Palo Alto Networks NGFW. در کاربرد اصلی آن ، در حال تونل کردن IP در IP است. این پروتکل لایه 4 با شماره پروتکل 47 است. (با شماره پورت TCP / UDP اشتباه گرفته نشود.) در ضبط من از نقاط پایانی تونل IP استفاده می کنم در حالی که IPv6 و IPv4 تونل می شوند. پینگ ، ردیاب و اتصال SSH را پیدا خواهید کرد. توجه داشته باشید که Wireshark آدرسهای IP منبع / مقصد تونل شده را نشان می دهد (عالی است!):

Wireshark GRE Tunnel

در صورت تنظیم ، نگهدارنده ها از هر دو طرف ارسال می شوند. "وقتی نگهدارنده را در قسمت انتهایی تونل روتر A فعال می کنید ، روتر در هر بازه ، هدر IP داخلی را ایجاد می کند. در انتهای هدر ، روتر همچنین یک هدر GRE با نوع پروتکل (PT) 0 و هیچ بار دیگر را اضافه می کند "، How GRE Keepalives Working:

Wireshark GRE Keepalive

NetFlow

گزارش فوق داده جریان IP به یک جمع کننده جریان. در مورد من ، یک فایروال Palo Alto Networks بسته های نسخه NetFlow 9 را ارسال می کند. برخی از الگوهای داده نیز در ردیابی یافت می شوند.

بسته های NetFlow در Wireshark

برکات!