Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Spørgsmål om TTL/Firewalk
13-03-2014, 22:11
#1
Spørgsmål om TTL/Firewalk
Jeg sidder og kigger lidt på programmet firewalk.
http://packetfactory.openwall.net/projectfald firewalk/

Oldie but goldie I know, men jeg forstår sgu ikke helt teknikken bag.
Min opfattelse af TTL på en pakke var at den var basseret på tid og ikke hop count. Og i så fald forstå jeg ikke hvordan det fungere.

Nogen der kender firewalk/kan forklare mig den del med hvordan programmet udnytter TTLen?
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-03-2014, 10:59
#2
RE: Spørgsmål om TTL/Firewalk
TTL = hop count

Når du sender data mellem to endpoints, så ryger de igennem en masse routere og gateways. Hver af dem dekrementerer TTL og hvis den når 0, så opgives leveringen og der sendes en fejlbesked tilbage. Det blev lavet for at undgå at et fejlkonfigureret netværk ville blive ved med at sende pakker rundt uendeligt.

Firewalk benytter så dette til at opdage, om en pakke blev sendt igennem firewallen eller stoppet af firewallen. Hvis en pakke har TTL=2 når den når firewallen, så bliver den enten droppet af firewallen eller sendt igennem. Hvis den sendes igennem tælles TTL ned til 1 og sender den videre til næste hop som dekrementerer til 0 og sender fejl tilbage.

Så, hvis pakken tillades af firewallen, får vi en fejlbesked (ICMP med time exceeded), tillades den ikke, får vi enten TCP RST eller intet tilbage.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-03-2014, 11:53 (Denne besked var sidst ændret: 14-03-2014, 11:54 af Spagnum.)
#3
RE: Spørgsmål om TTL/Firewalk
I stand corrected - har været i gang med at læse RFCer og kan da godt se min opfattelse af TTL er forkert.
Af en eller anden grund har jeg altid troet at TTL var en form for timestamp, som fortalte hvor gammel pakken var.

Men når det nu fungere som et hop count forstår jeg godt teknikken bag. Tak for forklaringen, nu vil jeg lege vider med firewalk.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-03-2014, 15:12
#4
RE: Spørgsmål om TTL/Firewalk
(14-03-2014, 11:53)Spagnum Skrev: I stand corrected - har været i gang med at læse RFCer og kan da godt se min opfattelse af TTL er forkert.
Af en eller anden grund har jeg altid troet at TTL var en form for timestamp, som fortalte hvor gammel pakken var.

Men når det nu fungere som et hop count forstår jeg godt teknikken bag. Tak for forklaringen, nu vil jeg lege vider med firewalk.

Det giver også mening, sådan ville jeg også forstå det.
Det står jo trodsalt for Time To Live, og i DNS er det tilstrækkeligt at definere hvor mange sekunder der skal gå før der skal anmodes efter friske oplysninger fra den autoritære navneserver. Idet det er den samme maskine der skal holde styr på det, er det slet ikke et problem.
Hvis man derimod bruger samme teknik på data-pakker vil man for det første spilde en masse plads på timestamp og levetid og for det andet skulle der nok på et tidspunkt dukke en ringe programmør op der ødelægger et eller andet på grund af tidszoner og afvigelse fra standarder.

En hop-tæller kan ligge i en enkelt byte og er helt uafhængig af hvilken enhed der påvirker den, da der trodsalt ikke er forskel på hvordan man subtraherer på tværs af grænserne :)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-03-2014, 15:38
#5
RE: Spørgsmål om TTL/Firewalk
(14-03-2014, 15:12)Doctor Blue Skrev: Det giver også mening, sådan ville jeg også forstå det.
Det står jo trodsalt for Time To Live, og i DNS er det tilstrækkeligt at definere hvor mange sekunder der skal gå før der skal anmodes efter friske oplysninger fra den autoritære navneserver. Idet det er den samme maskine der skal holde styr på det, er det slet ikke et problem.
Hvis man derimod bruger samme teknik på data-pakker vil man for det første spilde en masse plads på timestamp og levetid og for det andet skulle der nok på et tidspunkt dukke en ringe programmør op der ødelægger et eller andet på grund af tidszoner og afvigelse fra standarder.

En hop-tæller kan ligge i en enkelt byte og er helt uafhængig af hvilken enhed der påvirker den, da der trodsalt ikke er forskel på hvordan man subtraherer på tværs af grænserne :)

Korrekt, og vigtigere endnu er, at to computere ikke skal være enige om, hvad klokken er. Ikke alle bruger NTP.
I tilfældet med DNS siger serveren "Du må cache det her i 3600 sekunder"...ikke "Du må cache det her til 14/3-2014 kl. 16:00"....det er længe, hvis mit ur er fire år bagud.

10 hop kan alle forstå og blive enige om.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-03-2014, 09:49
#6
RE: Spørgsmål om TTL/Firewalk
Så er jeg færdig med at eksperimenter med Firewalk.

Hvis andre skulle havde lyst til at lege med det kan jeg da lige oplyse at der skal lidt rettelser til får at compile det på Backtrack/Kali:
https://www.youtube.com/watch?v=lhOCTeS4xiY

Der ud over skulle det i mit tilfælde configures med -build=i386 parameteren.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-03-2014, 10:15
#7
RE: Spørgsmål om TTL/Firewalk
Man kan også bruge nmaps firewalk script: http://nmap.org/nsedoc/scripts/firewalk.html
Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-03-2014, 13:43
#8
RE: Spørgsmål om TTL/Firewalk
Jep det har jeg faktisk også lurret lidt på, samt at gøre det med hping.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
22-01-2015, 10:18
#9
RE: Spørgsmål om TTL/Firewalk
Interessant læsning hvis ander skulle ville rode med dette emne:
https://rawhex.com/2015/01/an-unhealthy-...raceroute/
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)