glug: iptraf su notebook

robang robang@libero.it
Mar 12 Ott 2004 18:26:59 CEST 

s.sartini wrote:

> robang wrote:
>
>> s.sartini wrote:
>>
>>> Ciao,
>>> ho installato linux su un vekkissimo IMB thinkpad con eth su PCMCIA, 
>>> kernel 2.4.27, per usarlo come sniffer di rete. Lanciando iptraf e 
>>> mandando la sk d rete in modalità promiscua pero' non vedo 
>>> assolutamente nulla di quel che passa in rete.
>>>
>>> Ho provato mettendo a 0 /proc/sys/conf/net/eth0/rp_filter ma nulla 
>>> da fare. Lo "switch" è un banale hubbetto 8porte da 30 euro.
>>>
>>> Puo' essere per via della sk di rete PCMCIA (e pure vecchiotta) ? La 
>>> cosa strana è che il traffico UDP lo vedo, ma non il TCP...
>>
>>
>>
>>
>> forse perchè il banale hubbetto è uno switch!
>> ;-)
>>
>> http://www.practicallynetworked.com/networking/bridge_types.htm
>>
>> ed essendo "banale" ti lascia vedere il traffico UDP anche quello non 
>> diretto a te ma fa *switching* del traffico TCP così per poter 
>> ficcanasare su quello che fanno i tuoi vicini di scrivania devi 
>> ingannare lo switch con una tecnica ARP-CACHE-POISONING che è 
>> leggermente più sofisticata che non quella per recuperare vekkissimo 
>> HW e metterlo in modalità promiscua!
>
>
> Quindi mi stai dicendo che per 30 euro ho comprato uno switch L3 visto 
> che secondo il tuo ragionamento discerne il traffico TCP dal traffico
> UDP?
>
> Ho fatto un affare senza saperlo =)


 Se lo hai comperato al marc è possibile che discerna il traffico, anche 
se lo hai pagato 30 euro.
 Ti faccio presente che un switch è già L2 *ALMENO* mentre un hub può 
anche stare in L1

 Il primo layer è quello elettrico 802.3
  http://www.pcsupportadvisor.com/TCP_IP_tutorial_page1.htm

 il secondo è quello dei datagrammi  e TCP/IP
  http://www.pcsupportadvisor.com/TCP_IP_tutorial_page2.htm

 il terzo è quello dei pacchetti, riassumendo:

 1 - un hub può stare tranquillamente su L1 perchè è sufficiente che 
ripeta su ogni porta oppure indirizzati per MAC ADDRESS
 2 - uno switch deve stare almeno su un L2 altrimenti non può 
indirizzare correttamente i pacchetti sulle varie porte via IP ADDRESS
 3 - un switch per fare controllo contenuto dovrebbe stare su L3 
(firewall/router) MA la divisione TCP/UDP è già percepibile al livello 
inferirore INQUANTO QUALSIASI INSEGANTI DI RETI SA CHE:

 TCP/IP è una trasmissione a pacchetti basati su botta/risposta fra 
almeno 2 punti
 UDP/IP è una trasmissione ONE-WAY e talvolta anche di broadcast

 Perciò quando fai delivery dei datagrammi, cioè già a LIVELLO 2 sai se 
un datagramma richiede un ritorno oppure no.
 È poichè i datagrammi che non richiedono risposta NON contengono 
informazione importante rispetto a L4 (applicazione) e generalmente sono 
di broadcast tanto vale lasciarli fluire "banalmente" ovunque... fanno 
poco traffico e se anche possono essere sfruttati per fare giochetti 
sporchi non importa perchè TU hai pagato il tuo "hubbetto" solo 30 euro.
 
 N.B.: nota che la fonte citata specifica che la divisione che fa è su 4 
layer e non su 5 o 7 (che è altra storia ancora oppure X.25) in 
particolare se dovesse stentare un poco con altre lingue ti consiglio 
questo in italiano che guarda caso:

 http://www.tutorialpc.it/tcp2.asp#dt

 cito testualmente:

 TITOLO: "Il datagramma IP"

 [cut]

   Un altro campo molto importante è il "*protocol*"; infatti un 
datagramma IP, può contenere al suo interno un pacchetto TCP, un UDP, un 
ICMP o un VMTP e quindi è necessario procedere con un * demultiplex* 
logico basato appunto su tale campo.
 
 [cut]







>> ...chi te l'ha insegnata la modalità "promiscua"? il popolo di 
>> Seattle del mercoledì?
>> :-P
>
> A proposito di trashware... vedo che il trashware stimola la fantasia...
>
> L' ho letto sul Corriere dei Piccoli.

 Strano non credevo facessi letture così interessanti!
 :-P



>> ...e nel caso fossi tu, anche hai tuoi utenti!
>> ;-)
>>
>>
>> Ciao,
>
> Auguri all'amministratore...
>
> Grazie, senza i tuoi consigli non saprei proprio come cavarmela.
> Ah, si dice "ai tuoi utenti" e non "HAI tuoi utenti", ocio che a 
> parlare di ARP-CACHE-POISONING e poi non sapere la grammatica si fa la 
> figura degli scemi che balbettano paroloni tanto per impressionare la 
> gente...


 in latino habere ed è noto che il tedesco sia una lingua che ha 
mantenuto ancora molto del latino (ad esempio è una lingua declinata) ed 
è noto anche che da molti mesi sto a bolzano che è bi-lingue... ed 
infatti da circa 2 mesi sempre più spesso sbaglio la h all'inizio di 
alcune parole (in generale aggiungendola alle ha*).  È indice che sto 
assimilando un'altra lingua e sta facendo un po' di interferenza.

 Infine la grammatica è un'altra cosa, l'errore che ho fatto è di mera 
ortografia.
 Anche qua mi pare che non hai ben chiaro la stratificazione dei "layer"!
  ;-)


 Ciao,

-- 
si dice in giro che chi ha gli occhi azzurri è perchè ha
la testa piena d'acqua... pensa a chi li ha marroni...

Maggiori informazioni sulla lista glug