Hardware y software

Sobre ICMP a 127.0.0.1 para H4x0rz5

B
[Borrado] #1 Abr '16

Bien... parece una cuestion sencilla, o al menos cuando empiezas en el mundo de las redes es algo que te queda claro: si mando algo a 127.0.0.1 vuelve a casa... vuelve, o, en teoria, ni sale de la maldita computadora, para algo esta esa direccion en la capa de red, asi puedes tener aplicaciones servidor/cliente en tu propio ordenador aunque no tengas ningun tipo de conexion.

Bien, pues haciendo un test bobo con un sniffer construido con LIBPCAP (Que funciona capturando packetes del primer NIC activo que encuentra) y haciendo un flood de ping a 127.0.0.1 descubro, con gran sorpresa, que el header del packet especifica que el la MAC de source es la del NIC activo, pero la de destino no... la de destino es la del AP al que estoy conectado y eso me retuerce el ojete que flipas. Usando la loopback addres, en teoria, segun mi logica y hasta ahora la de las personas con las que he consultado, esos packetes tendrian que tener la misma MAC de source que de destino.

Puede alguien arrojarme algo de luz sobre este caso?

ElRuso
ElRuso #2 Abr '16

Tienes que capturar paquetes en loopback interface y no en el NIC fisico.

1 respuesta
B
[Borrado] #3 Abr '16

#2 Claro, pero el sniffer no selecciona LO como interface... de toda formas me sigue pareciendo raro, por que coño el packet de ping llega a salir con destino router... que por el timing del ping conectado/desconectado diria que no lo hace, pero vaya... raro igualmente.

1 respuesta
ElRuso
ElRuso #4 Abr '16

#3 Pues eso, si el sniffer no usa Lo, nunca veras los pings o otro trafico a ::1 . Los paquetes que ves viajando a AP serian generados por otros servicios/aplicaciones

1 respuesta
B
[Borrado] #5 Abr '16

#4 Nop, te juro que la prueba la he hecho conectado al ap pero solo con ping emitiendo y probando incluso con diferentes tamaños de ping.

ElRuso
ElRuso #6 Abr '16

Basandose en mis conocimientos trafico destinado a loopback nunca deberia de llegar al NIC fisico. O haces algo mal o tienes una configuracion muy chunga.

1 respuesta
B
[Borrado] #7 Abr '16

#6 :( Pues raro que yo sepa no tengo nada... vaya, esto es un portatil normaluco. El timing del ping es el mismo que desconectado... pero diferente que si hago ping a mi direccion ip local... en todo caso para 127.0.0.1 el header del paquete lleva como destino el router.

1 respuesta
ElRuso
ElRuso #8 Abr '16

#7 Pues mira, acabo de llegar a casa y he echo simple tcpdump de lo

tcpdump -nni lo -e icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 65535 bytes
19:28:09.719970 00:00:00:00:00:00 > 00:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 127.0.0.1 > 127.0.0.1: ICMP echo request, id 6402, seq 7, length 64
19:28:09.720018 00:00:00:00:00:00 > 00:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 127.0.0.1 > 127.0.0.1: ICMP echo reply, id 6402, seq 7, length 64
19:28:10.720028 00:00:00:00:00:00 > 00:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 127.0.0.1 > 127.0.0.1: ICMP echo request, id 6402, seq 8, length 64
19:28:10.720089 00:00:00:00:00:00 > 00:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 127.0.0.1 > 127.0.0.1: ICMP echo reply, id 6402, seq 8, length 64

Nada sale a NIC fisico como debe ser. Como vez source y destination MAC address son 00:00:00:00:00:00 (que es MAC de localhost por defecto)

Debo de suponer que haces algo mal tu o yo :)

1 respuesta
B
[Borrado] #9 Abr '16

#8 Es que con el otro sniffer no puedo capturar lo ya te dije, de todas formas no deberia salir nada como tu dices y en cambio quitando creo que todos (o eso creo) los servicios que tiran de internet y haciendo un ping con un size determinado si me captura los paquetes, todos de ese tamaño de payload...

Con tcpdump funciona de mil amores... en fin que le den. Gracias por la atencion Rusete :)

Usuarios habituales

Tags