191 ответов в этой теме

[Kirill Polubelov]

Kirill, Вы не в курсе - Git CMD для Доктора является инородным телом?

Не, не в курсе.

[sgtpepper]

Очень интересно. Ваершарк при этом не показывал вообще никаких пакетов, имеющих к этому отношение.

У вас один ПК в этой сети, или несколько?

Если несколько, хорошо бы повторить процедурку из https://forum.drweb.com/index.php?showtopic=333409&page=5#entry883873

при запущенном варешарке на другой машине. Ну или, если ПК один, то на нём запустить варешарк, затем повторить действия, при которых фаерволл сообщает о попытке ftp.exe (и разрешить их), и после этого уже остановить и сохранить отчёт ваершарка.

Кирилл, добрый день!

В сети только один ПК.
Вот отчет ваершарка: http://inthehood.ru/local_network_19_08.pcapng

[SergSG]

Вот отчет ваершарка: http://inthehood.ru/local_network_19_08.pcapng

А будет скрин статистики файера, который я просил тут https://forum.drweb.com/index.php?showtopic=333409&p=883888 ?

[sgtpepper]

 

Уточните, пожалуйста, дальнейшую стратегию)

Нужно открыть статистику файера, а потом повторить попытку соединения с FTP. Статистику заскринить и прикрепить сюда, но только растините так, чтоб были видны все колонки.

 

FWStat.png

 

SergSG, добрый день!

Вот практически пошаговый репорт с места событий:
https://gyazo.com/06cd5605fd5bba5221df5cbe7a07c210
https://gyazo.com/ffc1fa07560acac296454b6380220a32
https://gyazo.com/9683918a7811a9100ed4a2e025fac354
https://gyazo.com/897ecf9182d0517e05568d4d25ac609e

 

 

Вот отчет ваершарка: http://inthehood.ru/local_network_19_08.pcapng

А будет скрин статистики файера, который я просил тут https://forum.drweb.com/index.php?showtopic=333409&p=883888 ?

 

Да-да, разумеется) пытался записать видео, но с пошаговыми фото все-таки вышло быстрее

[SergSG]

Вот практически пошаговый репорт с места событий:

https://gyazo.com/06cd5605fd5bba5221df5cbe7a07c210
https://gyazo.com/ffc1fa07560acac296454b6380220a32
https://gyazo.com/9683918a7811a9100ed4a2e025fac354
https://gyazo.com/897ecf9182d0517e05568d4d25ac609e

Что то меня смущают откуда то взявшиеся UDP с локальными IP.

И немного смущает локальный адрес IP по TCP/FTP == 0.0.0.0 - у меня в аналогичной ситуации берет мой реальный IP.

Подождем что скажет Kirill по варешарку.

 

 ftp3.png   383,99К   0 Скачано раз

Сообщение было изменено SergSG: 19 Август 2020 - 15:08

[Kirill Polubelov]

Кирилл, добрый день!

В сети только один ПК.
Вот отчет ваершарка: http://inthehood.ru/local_network_19_08.pcapng

 

Добрый день.

Вы проделали всё в такой последовательности:

1. Запустили ваершарк и включили захват пакетов.

2. Запустили комстроку и выполнили попытку подключения ftp 141.8.193.210

3. Получили запрос от фаерволла на попытку из п. 2 и разрешили подключение

4. Подождав какое-то время остановили захват пакетов и сохранили дамп ваершарка

?

В дампе вижу только открывок SSH обмена между 141.8.193.210 (порт 22) и 192.168.0.101

Сообщение было изменено Kirill Polubelov: 19 Август 2020 - 15:22

[Kirill Polubelov]

Посмотрел картинки.

Надо через

netstat -ano смотреть какой PID на этих портах в этот момент .чтобы понять кого ждёт фтп.

 

Или можно так:

Когда в статистике увидите ftp.exe как на картинке -- моментально запускаете сбор сисинфо.

В нём мы увидим, кто сидел в этот момент на этих портах.

Весьма вероятно, что нетфильтр, и тогда гораздо интереесней, что происходит, когад его нет, а фтп всё равно не коннектится.

[SergSG]

ххх

Попробуйте в командной строке от админа выполнить команду - route delete 0.0.0.0 mask 0.0.0.0 25.0.0.1

Потом выполнить - route print, ее результат скопируйте сюда.

И после этого попробуйте соединиться по FTP.

Сообщение было изменено SergSG: 19 Август 2020 - 15:41

[SergSG]

В нём мы увидим, кто сидел в этот момент на этих портах.

Весьма вероятно, что нетфильтр, и тогда гораздо интереесней, что происходит, когад его нет, а фтп всё равно не коннектится.

Нетфильт и UDP? Не уловил - какая связь?

Я уже плохо помню старый нетфильтр, но что то не помню, чтоб он открывал UDP порты на TCP соединения да еще и по v4 и v6 одновременно. У него вообще на UDP аллергия.

[Kirill Polubelov]

Так я ж и говорю, не должен быть это нетфильтр, вот и надо узнать, куда ломится фтп, вместо того, чтобы напрямки к таргету.

[sgtpepper]

 

Кирилл, добрый день!

В сети только один ПК.
Вот отчет ваершарка: http://inthehood.ru/local_network_19_08.pcapng

 

Добрый день.

Вы проделали всё в такой последовательности:

1. Запустили ваершарк и включили захват пакетов.

2. Запустили комстроку и выполнили попытку подключения ftp 141.8.193.210

3. Получили запрос от фаерволла на попытку из п. 2 и разрешили подключение

4. Подождав какое-то время остановили захват пакетов и сохранили дамп ваершарка

?

В дампе вижу только открывок SSH обмена между 141.8.193.210 (порт 22) и 192.168.0.101

 

Кирилл, добрый день!

Практически да, кроме пункта 3 (по всей вероятности ранее я уже успел создать правило для фаервола), поэтому этот пункт был пропущен.
По поводу SSH обмена, возможно на тот момент был коннект через 22 порт к 141.8.193.210 через WinSCP

[sgtpepper]

 

ххх

Попробуйте в командной строке от админа выполнить команду - route delete 0.0.0.0 mask 0.0.0.0 25.0.0.1

Потом выполнить - route print, ее результат скопируйте сюда.

И после этого попробуйте соединиться по FTP.

 

SergSG, доброго вам дня!

Увы, отдает, что не нашел этого элемента:
https://gyazo.com/51d77c33e6a254de389f5ad374558e1c

[sgtpepper]

Посмотрел картинки.

Надо через

netstat -ano смотреть какой PID на этих портах в этот момент .чтобы понять кого ждёт фтп.

 

Или можно так:

Когда в статистике увидите ftp.exe как на картинке -- моментально запускаете сбор сисинфо.

В нём мы увидим, кто сидел в этот момент на этих портах.

Весьма вероятно, что нетфильтр, и тогда гораздо интереесней, что происходит, когад его нет, а фтп всё равно не коннектится.

Кирилл, могу я здесь уточнить, я правильно понял, что:
1) Нужно запустить статистику докторовского фаерволла
2) Через консоль начать коннект к ftp 141.8.193.210
3) Как только в статистике появятся строки UDP тут же запустить dwsysinfo.exe (последнюю)
4) После чего подождать, сохранить файл и отправить?

[Kirill Polubelov]

Добрый день,

 

 

Практически да, кроме пункта 3 (по всей вероятности ранее я уже успел создать правило для фаервола), поэтому этот пункт был пропущен.

правило можно удалить. Крайне важно быть уверенным, что фтп предпринял попытку коннекта к таргету, по мнению фаерволла (то есть, когда фаерволл делает запрос пользователю).

 

 

 

Кирилл, могу я здесь уточнить, я правильно понял, что:

Да, причем, сисинфо можно обычный, из состава АВ, там тоже будут перечисленны соединения.

Ну или, можно проще (а главное отработает быстрее), подготовить батник nettasks.bat вида:

tasklist >> result.txt
netstat -ano >> result.txt
tasklist >> result.txt

где-нибудь в C:\utemp
и как только в статистике появится что-то от ftp, запустить это батник. Файлик result.txt и будет то, что требуется.

Сообщение было изменено Kirill Polubelov: 20 Август 2020 - 11:20

[SergSG]

 

Попробуйте в командной строке от админа выполнить команду - route delete 0.0.0.0 mask 0.0.0.0 25.0.0.1

Потом выполнить - route print, ее результат скопируйте сюда.

И после этого попробуйте соединиться по FTP.

Увы, отдает, что не нашел этого элемента:
https://gyazo.com/51d77c33e6a254de389f5ad374558e1c

Странно, а ведь был - https://forum.drweb.com/index.php?showtopic=333409&p=881976

А выполните команду route print и покажите результат на сейчас.

[sgtpepper]

Кирилл, добрый день!
 

Добрый день,

 

 

Практически да, кроме пункта 3 (по всей вероятности ранее я уже успел создать правило для фаервола), поэтому этот пункт был пропущен.

правило можно удалить. Крайне важно быть уверенным, что фтп предпринял попытку коннекта к таргету, по мнению фаерволла (то есть, когда фаерволл делает запрос пользователю).

 

А где именно это можно сделать?

 

Кирилл, могу я здесь уточнить, я правильно понял, что:

Да, причем, сисинфо можно обычный, из состава АВ, там тоже будут перечисленны соединения.

Ну или, можно проще (а главное отработает быстрее), подготовить батник nettasks.bat вида:

tasklist >> result.txt
netstat -ano >> result.txt
tasklist >> result.txt

где-нибудь в C:\utemp
и как только в статистике появится что-то от ftp, запустить это батник. Файлик result.txt и будет то, что требуется.

Запустил батник при появлении ftp в списке статистики Фаервола (result.txt), а потом в конце, когда https://gyazo.com/4ac9f3500c29d2f8d3c848909c0c2478(result2.txt)

Прикрепленные файлы:

•  result.txt   36,6К   2 Скачано раз
•  result2.txt   71,62К   2 Скачано раз

[sgtpepper]

 

 

Попробуйте в командной строке от админа выполнить команду - route delete 0.0.0.0 mask 0.0.0.0 25.0.0.1

Потом выполнить - route print, ее результат скопируйте сюда.

И после этого попробуйте соединиться по FTP.

Увы, отдает, что не нашел этого элемента:
https://gyazo.com/51d77c33e6a254de389f5ad374558e1c

Странно, а ведь был - https://forum.drweb.com/index.php?showtopic=333409&p=881976

А выполните команду route print и покажите результат на сейчас.

 

SergSG, может быть он создается динамически?

Вот результат на сейчас: https://gyazo.com/0266c6e125a9edb65d71986c0f04045a

На компьютере стоит Node Js, может быть он что-то делает?
Также я писал в начале темы, что был установлен, а потом удален Docker со своими виртуалками, не знаю, может быть это как-то будет полезно?)

[SergSG]

SergSG, может быть он создается динамически?

Нет, пишет что статический. Возможно route delete 0.0.0.0 убило оба маршрута и основной, и этот.

 

Я Вам в личку сбросил архив с утилитой для проверки - запустите оба файла и пока они работают сделайте скрин окна статистики файера, чтоб видно было что с ними происходит.

[Eugen Engelhardt]

Похоже, что маршрут 25.0.0.1 был создан после установки VirtualBox, он у Вас sgtpepper есть.

[Dmitry Mikhirev]

Какие маршруты, о чём вы, люди? Маршрутизация работает на уровне IP, а тут пакеты пропадают в зависимости от TCP-порта, если верить описанию. Причина в файрволе где-то по пути.