Перейти к содержимому


Фото
- - - - -

Компьютер перестал соединяться по портам 21 (ftp) и 2222 (sftp)

Порты ftp sftp таймаут

  • Закрыто Тема закрыта
191 ответов в этой теме

#41 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 07 Июль 2020 - 12:20

Добрый день, Роман.

Да, формат дампа подходящий.

Скрин работы ftp выглядит непривычно.

Что может означать Git CMD?

По умолчанию, при запуске командной строки в тайтле отображается просто путь к домашнему каталогу. Вы просто как-то персонализировали тайтл?

 

Дамп получился загадочный, да.

Давайте, тогда, попробуем так:

1. Закройте все приложения и запустите Wireshark, выберите там то сетевое подключение, через которое вы работаете с интернетом. Запустите захват (capture) сетевого трафика

2. Откройте командную строку (Пуск -> наберите cmd и нажмите Enter)

Введите в командной строке:

tracert 141.8.193.210 и нажмите Enter

дождитесь окончания трассировки. Это позволит увидеть в дампе трафика полезную информацию о подключении к хосту. Далее:

ftp 141.8.193.210 и нажмите Enter

дождитесь либо приглашения к вводу логина/пароля, или какого-либо сообщения об ошибке.

3. Попробуйте коннект к 141.8.193.210 при помощи, например, WinSCP.exe имеющегося у вас.

4. Завершите захват трафика в wireshark'е, сохраните дамп трафика, запакуйте его и пришлите, пожалуйста, сюда


Сообщение было изменено Kirill Polubelov: 07 Июль 2020 - 12:22

(exit 0)

#42 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 08 Июль 2020 - 12:45

Добрый день, Роман.

Да, формат дампа подходящий.

Скрин работы ftp выглядит непривычно.

Что может означать Git CMD?

По умолчанию, при запуске командной строки в тайтле отображается просто путь к домашнему каталогу. Вы просто как-то персонализировали тайтл?

 

Дамп получился загадочный, да.

Давайте, тогда, попробуем так:

1. Закройте все приложения и запустите Wireshark, выберите там то сетевое подключение, через которое вы работаете с интернетом. Запустите захват (capture) сетевого трафика

2. Откройте командную строку (Пуск -> наберите cmd и нажмите Enter)

Введите в командной строке:

tracert 141.8.193.210 и нажмите Enter

дождитесь окончания трассировки. Это позволит увидеть в дампе трафика полезную информацию о подключении к хосту. Далее:

ftp 141.8.193.210 и нажмите Enter

дождитесь либо приглашения к вводу логина/пароля, или какого-либо сообщения об ошибке.

3. Попробуйте коннект к 141.8.193.210 при помощи, например, WinSCP.exe имеющегося у вас.

4. Завершите захват трафика в wireshark'е, сохраните дамп трафика, запакуйте его и пришлите, пожалуйста, сюда

Добрый день, Кирилл!

Git CMD это по сути та же cmd (только с другим визуалом).
Вот скрин из классической:
9340e9808e64011e5aa7a598644e5835.png
https://gyazo.com/9340e9808e64011e5aa7a598644e5835

Ссылка на дамп:
http://inthehood.ru/wireshark_08_07.pcapng

У меня появилось предположение, что быть может я выбираю не то подключение?
Скрин из WireShark:
https://gyazo.com/f3f9a66153b04b7a6d78459b97443fe4



#43 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 08 Июль 2020 - 13:22

Подключение, скорее всего, то. Потому что трассировка (tracert) в логах Wireshark присутствует. А вот попыток подключения к ftp - по-прежнему ни одной.



#44 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 08 Июль 2020 - 17:19

Да, выглядит странно.

Судя по всему, в дамп трафика попал tracert, по которому можно предположить, исходя из:

30 14.664634 192.168.0.1 192.168.0.101 ICMP 134 Time-to-live exceeded (Time to live exceeded in transit)

что возникает петля, причём, далее, этот 'Time-to-live exceeded (Time to live exceeded in transit)' возвращается с каждого узла маршрута, но в конечном итоге пинг и трассировка завершаются успешно.

А вот попыток утилиты ftp не видно вовсе. Как и WinSCP (ею пробовали?). Ваершарк работал в этот момент?

Предлагаю повторить эксперимент ещё раз.

- Запускаете ваершарк, захват трафика;

- tracert 141.8.193.210

- ftp 141.8.193.210

- WinSCP 141.8.193.210

- telnet 141.8.193.210 21

- И только после этого останавливаете ваершарк и сохраняете дамп.


(exit 0)

#45 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 09 Июль 2020 - 11:02

Да, выглядит странно.

Судя по всему, в дамп трафика попал tracert, по которому можно предположить, исходя из:

30 14.664634 192.168.0.1 192.168.0.101 ICMP 134 Time-to-live exceeded (Time to live exceeded in transit)

что возникает петля, причём, далее, этот 'Time-to-live exceeded (Time to live exceeded in transit)' возвращается с каждого узла маршрута, но в конечном итоге пинг и трассировка завершаются успешно.

А вот попыток утилиты ftp не видно вовсе. Как и WinSCP (ею пробовали?). Ваершарк работал в этот момент?

Предлагаю повторить эксперимент ещё раз.

- Запускаете ваершарк, захват трафика;

- tracert 141.8.193.210

- ftp 141.8.193.210

- WinSCP 141.8.193.210

- telnet 141.8.193.210 21

- И только после этого останавливаете ваершарк и сохраняете дамп.

Кирилл, добрый день!

Да, я прошу прощения, в прошлый раз забыл попытаться подключиться по WinSCP.
Вот дамп с записью http://inthehood.ru/wireshark_09_07.pcapng, в которую вошли пункты:

- tracert 141.8.193.210

- ftp 141.8.193.210

- WinSCP 141.8.193.210

- telnet 141.8.193.210 21

Из этих пунктов успешным прошел только tracert, остальные вернули таймаут (кроме ftp, где просто остается холд-состояние в cmd).

 



#46 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 09 Июль 2020 - 11:20

Подключение, скорее всего, то. Потому что трассировка (tracert) в логах Wireshark присутствует. А вот попыток подключения к ftp - по-прежнему ни одной.

Дмитрий, да, спасибо. Использую его.



#47 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 09 Июль 2020 - 11:37

Добрый день,

Ну что же, отрицательный результат тоже результат. Зато теперь мы точно знаем, что наружу с этого ПК ничего кроме трацерта с пингами (ICMP) на этот адрес не выходит =)

Возвращаемся на исходную, сделав круг.

Теперь окончательно сосредотачиваемся на самом ПК.

1. Скачайте, пожалуйста, procmon https://download.sysinternals.com/files/ProcessMonitor.zip

Распакуйте его, например, в c:\procmon и запустите, согласившись с лицензией.

2. Запустите командную строку, выполните известный вам: ftp 141.8.193.210

3. Сохраните лог прокмона и заархивировав, прикрепите, пожалуйста, сюда.

UPD: 4. После проделанного, заодно, сделайте, пожалуйста, ещё разок отчёт вот этим http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe


Сообщение было изменено Kirill Polubelov: 09 Июль 2020 - 11:45

(exit 0)

#48 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 12 Июль 2020 - 01:38

Добрый день,

Ну что же, отрицательный результат тоже результат. Зато теперь мы точно знаем, что наружу с этого ПК ничего кроме трацерта с пингами (ICMP) на этот адрес не выходит =)

Возвращаемся на исходную, сделав круг.

Теперь окончательно сосредотачиваемся на самом ПК.

1. Скачайте, пожалуйста, procmon https://download.sysinternals.com/files/ProcessMonitor.zip

Распакуйте его, например, в c:\procmon и запустите, согласившись с лицензией.

2. Запустите командную строку, выполните известный вам: ftp 141.8.193.210

3. Сохраните лог прокмона и заархивировав, прикрепите, пожалуйста, сюда.

UPD: 4. После проделанного, заодно, сделайте, пожалуйста, ещё разок отчёт вот этим http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

Кирилл, добрый вечер!

Прошу прощения за задержку с ответом.
Вопрос возник сразу на первом пункте. При попытке запуска (Procmon.exe, Procmon64.exe) вылетает следующая ошибка: https://gyazo.com/0b36a0d473605dd2a3818b52d5350643
Она, вероятно, критичная?



#49 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 12 Июль 2020 - 12:53

Запускали от администратора?


Почтовый сервер Eserv тоже работает с Dr.Web

#50 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 12 Июль 2020 - 15:04

Запускали от администратора?

Да, пробовал. Результат аналогичный :|



#51 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 13 Июль 2020 - 06:53

Добрый день, Роман.

Что ж, давайте тогда сисинфо из п. 4, хотя бы.


(exit 0)

#52 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 13 Июль 2020 - 21:59

Добрый день, Роман.

Что ж, давайте тогда сисинфо из п. 4, хотя бы.

Добрый вечер, Кирилл!

Вот ссылка на сисинфо (dwsysinfo.exe):
http://inthehood.ru/HOME_Roman_130720_212530.zip



#53 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 16 Июль 2020 - 11:36

Добрый день, Роман.

Что ж, давайте тогда сисинфо из п. 4, хотя бы.

Кирилл, доброго вам времени!

Сможете направить, что же делать дальше?



#54 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 16 Июль 2020 - 11:47

Добрый день, Роман, сисинфо немного "не той системы" (с) =)

Хотелось бы именно:

UPD: 4. ... отчёт вот этим http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

 

Но, на самом деле, я попытался выудить что-либо полезного и из того отчёта что вы уже прислали. Но пока не преуспел.


(exit 0)

#55 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 16 Июль 2020 - 15:54

Добрый день, Роман, сисинфо немного "не той системы" (с) =)

Хотелось бы именно:

UPD: 4. ... отчёт вот этим http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

 

Но, на самом деле, я попытался выудить что-либо полезного и из того отчёта что вы уже прислали. Но пока не преуспел.

О, Кирилл, я прошу прощения) Подумал, что это тот же самый инструмент.
Тогда конечно же сейчас скачаю и запущу этот.



#56 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 17 Июль 2020 - 12:09

Добрый день, Роман, сисинфо немного "не той системы" (с) =)

Хотелось бы именно:

UPD: 4. ... отчёт вот этим http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

 

Но, на самом деле, я попытался выудить что-либо полезного и из того отчёта что вы уже прислали. Но пока не преуспел.

Кирилл, здравствуйте!

Вот ссылка на новый отчет:
http://inthehood.ru/HOME_Roman_170720_034954.zip


Может быть дело в драйверах?
 


Сообщение было изменено sgtpepper: 17 Июль 2020 - 12:10


#57 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 20 Июль 2020 - 10:35

Добрый день, Роман, сисинфо немного "не той системы" (с) =)

Хотелось бы именно:

UPD: 4. ... отчёт вот этим http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

 

Но, на самом деле, я попытался выудить что-либо полезного и из того отчёта что вы уже прислали. Но пока не преуспел.

Кирилл, доброе утро!

Сможете направить далее?



#58 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 20 Июль 2020 - 12:58

Доброе утро, Роман!

Я пока ещё копаю присланное =)

Но тут ещё промелькнула мысль -- мы исходим из уверенности, что если попытка соединения, в принципе, происходит, то она непременно должна проходит на  том интерфейсе, на котором вы снимали логи ваершарка. Но к тому нет никаких оснований.

А вдруг (маловероятно, но всё же) эти попытки идут через какой-то другой интерфейс из тех, чтоу вас есть на ПК, включая loopback?

Было бы здорово это проверить. Это не сложно.

Просто запускаете на запись ваершарк, на соотв. интерфейсе, затем запускаете многострадальный ftp 141.8.193.210

Единственный нюанс, для localhost (loopback) ваершарк так просто не захватывает трафик, для этого придётся прибегнуть к:

https://wiki.wireshark.org/CaptureSetup/Loopback


Сообщение было изменено Kirill Polubelov: 20 Июль 2020 - 12:58

(exit 0)

#59 sgtpepper

sgtpepper

    Newbie

  • Posters
  • 69 Сообщений:

Отправлено 21 Июль 2020 - 11:48

Доброе утро, Роман!

Я пока ещё копаю присланное =)

Но тут ещё промелькнула мысль -- мы исходим из уверенности, что если попытка соединения, в принципе, происходит, то она непременно должна проходит на  том интерфейсе, на котором вы снимали логи ваершарка. Но к тому нет никаких оснований.

А вдруг (маловероятно, но всё же) эти попытки идут через какой-то другой интерфейс из тех, чтоу вас есть на ПК, включая loopback?

Было бы здорово это проверить. Это не сложно.

Просто запускаете на запись ваершарк, на соотв. интерфейсе, затем запускаете многострадальный ftp 141.8.193.210

Единственный нюанс, для localhost (loopback) ваершарк так просто не захватывает трафик, для этого придётся прибегнуть к:

https://wiki.wireshark.org/CaptureSetup/Loopback

Кирилл, добрый день!

Да, согласен.
Я верно понимаю, что сейчас наша цель попробовать соединиться и записать ваершарком на всех доступных соединениях?



#60 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 347 Сообщений:

Отправлено 21 Июль 2020 - 17:19

Да, верно. Убедиться, пока суть да дело, что попытки соединения не предпринимаются на каком-либо, отличном от нужного, интерфейсе.


(exit 0)



Also tagged with one or more of these keywords: Порты ftp, sftp, таймаут

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых