Sledovani IPSec tunelu
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Září 26 10:21:07 CEST 2004
On Wed, 22 Sep 2004, Michal Kubecek wrote:
> Když jsem to ale zkoušel před pár dny, viděl jsem pomocí tcpdump i u
> transport modu vnitřní pakety, ale poničené - v pořádku byl jen samotný
> začátek hlavičky. Zkoušel jsem hledat na webu, ale našel jsem jen nějaké
> zmínky o tom, že je údajně zcela v pořádku, že jádro nechá na stacku
> "trosky" rozbaleného paketu a tcpdump je hloupý, že si jich všímá.
> Nějak se mi to nezdá, ale zdálo se, že autor toho příspěvku ví, o čem
> mluví.
Hm. K podobnym vecem dochazi, kdyz nekdo manipuluje se skbuffem, aniz by
se ujistil, ze ho s nikym nesdili. Paket prichazi (nebo odchazi), stane se
z nej skbuff, jadro ho naklonuje do sniffujiciho socketu (skb_clone()),
ale nez si ho userland staci vsimnout, tak dalsi faze zpracovani v jadre
provedou na tom samem skbuffu nejake destruktivni zmeny, ktere se skrz
sdilena data pochopitelne promitnou i do klonovaneho skbuffu, a tudiz
pak sniffer vidi v lepsim pripade zmenene udaje, v horsim pripade uplne
nesmysly.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux