| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:соединение_второго_типа._инкапсуляция_l4 [2025/01/24 13:06] – i.sharapov | tssltd:соединение_второго_типа._инкапсуляция_l4 [2025/01/24 15:26] (current) – i.sharapov |
|---|
| ыр ште[[tssltd:мксз_diamond_next|Вернуться к оглавлению]] | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
| |
| ==== Описание параметров ==== | ==== Описание параметров (Соединение второго типа) ==== |
| |
| <WRAP indent> | <WRAP indent> |
| |
| <WRAP indent> | <WRAP indent> |
| {{ :tssltd:first_type_vpn.jpg |}} | {{ :tssltd:second_type_vpn.jpg |}} |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| {{ :tssltd:first_type_vpn_2.jpg |}} | {{ :tssltd:second_type_vpn_2.jpg |}} |
| </WRAP> | </WRAP> |
| |
| |
| На втором устройстве необходимо перевести в состояние "UP" сетевой интерфейс "**GigabitEthernet8/0/0**" и "**GigabitEthernete/0/2**". На сетевом интерфейсе "**GigabitEthernet8/0/0**" необходимо задать сетевой адрес "**192.168.250.1/24**", на интерфейсе "**GigabitEthernete/0/2**" сетевой адрес "**192.168.17.1/24**". | На втором устройстве необходимо перевести в состояние "UP" сетевой интерфейс "**GigabitEthernet8/0/0**" и "**GigabitEthernete/0/2**". На сетевом интерфейсе "**GigabitEthernet8/0/0**" необходимо задать сетевой адрес "**192.168.250.1/24**", на интерфейсе "**GigabitEthernete/0/2**" сетевой адрес "**192.168.17.1/24**". |
| | |
| | ^ Устройство ^ Сетевой интерфейс ^ Состояние ^ Сетевой адрес ^ |
| | | Устройство 1 | GigabitEthernet5/0/0 | UP | 192.168.250.2/24 | |
| | |:::| GigabitEthernetb/0/2 | UP | 192.168.17.2/24 | |
| | |Устройство 2| GigabitEthernet8/0/0 | UP | 192.168.250.1/24 | |
| | |:::| GigabitEthernete/0/2 | UP | 192.168.17.1/24 | |
| |
| |
| GigabitEthernet8/0/0 7 up 9000/0/0/0 rx packets 17 | GigabitEthernet8/0/0 7 up 9000/0/0/0 rx packets 17 |
| rx bytes 54 | rx bytes 54 |
| vpp# sh interface GigabitEthernet8/0/0 | vpp# sh interface GigabitEthernete/0/2 |
| Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count | Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count |
| GigabitEthernete/0/2 13 up 9000/0/0/0 rx packets 57 | GigabitEthernete/0/2 13 up 9000/0/0/0 rx packets 57 |
| rx bytes 16 | rx bytes 16 |
| vpp# sh interface address GigabitEthernet8/0/0 | vpp# sh interface address GigabitEthernet8/0/0 |
| GigabitEthernet8/0/0 (up): | GigabitEthernet8/0/0 (up): |
| {{ :tssltd:lcp_create_1.jpg |}} | {{ :tssltd:lcp_create_1.jpg |}} |
| |
| {{ :tssltd:lcp_create_2.jpg |}} | {{ :tssltd:second_lcp_create_1.jpg |}} |
| |
| {{ :tssltd:lcp_create_3.jpg |}} | {{ :tssltd:second_lcp_create_2.jpg |}} |
| |
| |
| Для "**Устройства 2**" необходимо сделать аналогичную настройку. Для LCP интерфейса необходимо задать как нижележащий интерфейс - "**GigabitEthernet8/0/0**" . | Для "**Устройства 2**" необходимо сделать аналогичную настройку. Для LCP интерфейса необходимо задать как нижележащий интерфейс - "**GigabitEthernete/0/2**". |
| |
| | ^ Устройство ^ Физический интерфейс ^ LCP интерфейс ^ Комментарий ^ |
| | | Устройство_1 | GigabitEthernetb/0/2 | lcp_vpn | Данная настройка позволяет сделать проброс сетевого интерфеса для служебного трафика на уровень управления. | |
| | | ::: | GigabitEthernet5/0/0 | - | Для заданного сетевого интерфейса lcp интерфейс не создаем. | |
| | |Устройство_2| GigabitEthernete/0/2 | lcp_vpn | Данная настройка позволяет сделать проброс сетевого интерфеса для служебного трафика на уровень управления. | |
| | | ::: | GigabitEthernet8/0/0 | - | Для заданного сетевого интерфейса lcp интерфейс не создаем. | |
| |
| После создания LCP интерфейса можно подключиться к каждому устройству по протоколу ssh и проверить настройки. В консольном уровне управления необходимо выполнить команду "**ifconfig lcp_vpn**". Обратите внимание, что на LCP интерфейсе автоматически будет задан такой же ip адрес, как и на физическом интерфейсе, который был задан как нижележащий при настройке. Командой "**ping**" можно проверить сетевую доступность. | После создания LCP интерфейса можно подключиться к каждому устройству по протоколу ssh и проверить настройки. В консоли на уровне управления необходимо выполнить команду "**ifconfig lcp_vpn**". Обратите внимание, что на LCP интерфейсе автоматически будет задан такой же ip адрес, как и на физическом интерфейсе, который был задан как нижележащий при настройке. Командой "**ping**" можно проверить сетевую доступность. |
| |
| <code> | <code> |
| |
| # ifconfig lcp_vpn | # ifconfig lcp_vpn |
| lcp_vpn Link encap:Ethernet HWaddr 00:90:0B:95:CE:B5 | lcp_vpn Link encap:Ethernet HWaddr 00:90:0B:95:CD:C3 |
| inet addr:192.168.250.2 Bcast:0.0.0.0 Mask:255.255.255.0 | inet addr:192.168.17.2 Bcast:0.0.0.0 Mask:255.255.255.0 |
| inet6 addr: fe80::290:bff:fe95:ceb5/64 Scope:Link | inet6 addr: fe80::290:bff:fe95:cdc3/64 Scope:Link |
| UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 | UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 |
| RX packets:0 errors:0 dropped:0 overruns:0 frame:0 | RX packets:0 errors:0 dropped:0 overruns:0 frame:0 |
| TX packets:27 errors:0 dropped:0 overruns:0 carrier:0 | TX packets:25 errors:0 dropped:0 overruns:0 carrier:0 |
| collisions:0 txqueuelen:1000 | collisions:0 txqueuelen:1000 |
| RX bytes:0 (0.0 B) TX bytes:2678 (2.6 KiB) | RX bytes:0 (0.0 B) TX bytes:2407 (2.3 KiB) |
| # | # |
| # ping 192.168.250.1 | # ping 192.168.17.1 |
| PING 192.168.250.1 (192.168.250.1): 56 data bytes | PING 192.168.17.1 (192.168.17.1): 56 data bytes |
| 64 bytes from 192.168.250.1: seq=0 ttl=64 time=0.393 ms | 64 bytes from 192.168.17.1: seq=0 ttl=64 time=0.393 ms |
| 64 bytes from 192.168.250.1: seq=1 ttl=64 time=0.191 ms | 64 bytes from 192.168.17.1: seq=1 ttl=64 time=0.191 ms |
| </code> | </code> |
| |
| |
| # ifconfig lcp_vpn | # ifconfig lcp_vpn |
| lcp_vpn Link encap:Ethernet HWaddr 00:90:0B:8D:70:E1 | lcp_vpn Link encap:Ethernet HWaddr 00:90:0B:94:63:25 |
| inet addr:192.168.250.1 Bcast:0.0.0.0 Mask:255.255.255.0 | inet addr:192.168.17.1 Bcast:0.0.0.0 Mask:255.255.255.0 |
| inet6 addr: fe80::290:bff:fe8d:70e1/64 Scope:Link | inet6 addr: fe80::290:bff:fe94:6325/64 Scope:Link |
| UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 | UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 |
| RX packets:1 errors:0 dropped:0 overruns:0 frame:0 | RX packets:16 errors:0 dropped:0 overruns:0 frame:0 |
| TX packets:28 errors:0 dropped:0 overruns:0 carrier:0 | TX packets:33 errors:0 dropped:0 overruns:0 carrier:0 |
| collisions:0 txqueuelen:1000 | collisions:0 txqueuelen:1000 |
| RX bytes:60 (60.0 B) TX bytes:2780 (2.7 KiB) | RX bytes:1706 (1.6 KiB) TX bytes:3128 (3.0 KiB) |
| # | # |
| # ping 192.168.250.2 | # ping 192.168.17.2 |
| PING 192.168.250.2 (192.168.250.2): 56 data bytes | PING 192.168.17.2 (192.168.17.2): 56 data bytes |
| 64 bytes from 192.168.250.2: seq=0 ttl=64 time=0.568 ms | 64 bytes from 192.168.17.2: seq=0 ttl=64 time=0.568 ms |
| 64 bytes from 192.168.250.2: seq=1 ttl=64 time=0.188 ms | 64 bytes from 192.168.17.2: seq=1 ttl=64 time=0.188 ms |
| </code> | </code> |
| |
| Для настройки защищенного соединения необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**VPN - VPN-сервис**". В таблице "**VPN-сервис**" необходимо нажать на кнопку "**Добавить сервис**". В новом окне в таблице "**Настроить VPN сервис**" необходимо задать параметры для сервиса. | Для настройки защищенного соединения необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**VPN - VPN-сервис**". В таблице "**VPN-сервис**" необходимо нажать на кнопку "**Добавить сервис**". В новом окне в таблице "**Настроить VPN сервис**" необходимо задать параметры для сервиса. |
| |
| <wrap important>Обратите внимание, что часть параметров имеет значения по умолчанию. Эти значения подобраны оптимальным образом. Не рекомендуется без необходимости изменять их.</WRAP> | Обратите внимание, что часть параметров имеет значения по умолчанию. Эти значения подобраны оптимальным образом. Не рекомендуется без необходимости изменять их. |
| <wrap clear /> | |
| |
| Параметры для защищенного соединения для первого устройства представлены в таблице: | Параметры для защищенного соединения для первого устройства представлены в таблице: |
| | Идентификатор туннеля | 1 | Номер туннеля. Защищенный трафик для всех устройств передается по порту 1024, для определения какому клиенту принадлежит заданный пакет используется дополнительный параметр - идентификатор туннеля. | | | Идентификатор туннеля | 1 | Номер туннеля. Защищенный трафик для всех устройств передается по порту 1024, для определения какому клиенту принадлежит заданный пакет используется дополнительный параметр - идентификатор туннеля. | |
| | Уровень инкапсуляции | L4 | Данных параметр определяет заголовки, которые будут добавляться к сетевому пакету после шифрования. Для режима L4, будет добавляться заголовок L2, L3 и L4. | | | Уровень инкапсуляции | L4 | Данных параметр определяет заголовки, которые будут добавляться к сетевому пакету после шифрования. Для режима L4, будет добавляться заголовок L2, L3 и L4. | |
| | Локальный адрес туннеля | 0.0.0.0:1024 | Данных параметр означает, что после установки защищенного соединения и согласования параметров. Устройство будет ожидать зашифрованный трафик и отправлять зашифрованный трафик с заданного адреса и заданного сетевого порта по протоколу UDP. Для случая, когда параметр задан как 0.0.0.0 устройство будет использовать адрес, который был задан в параметрах хэндшейка.| | | Локальный адрес туннеля | 192.168.250.2:1024 | Данных параметр означает, что после установки защищенного соединения и согласования параметров. Устройство будет ожидать зашифрованный трафик и отправлять зашифрованный трафик с заданного адреса и заданного сетевого порта по протоколу UDP.| |
| | Удаленный адрес туннеля | Не заполняем | | | Удаленный адрес туннеля | Не заполняем | |
| |
| | Название VPN интерфейса | tap_с | Имя VPN интерфейса, который был создан на предыдущих шагах. Этот интерфейс будет являться точкой входа в защищенное соединение для нашего сервиса.| | | Название VPN интерфейса | tap_с | Имя VPN интерфейса, который был создан на предыдущих шагах. Этот интерфейс будет являться точкой входа в защищенное соединение для нашего сервиса.| |
| | Режим хэндшейка | Server | Режим Server означает, что устройство будет ожидать запросов на подключение от других участников. | | | Режим хэндшейка | Server | Режим Server означает, что устройство будет ожидать запросов на подключение от других участников. | |
| | Точки подключения (адрес:порт) | 192.168.250.2:1050 | Устройство в режиме клиента пытается установить защищенное соединение с другим устройством, отправляя запросы на заданный адрес и заданный сетевой порт по протоколу UDP. | | | Точки подключения (адрес:порт) | 192.168.17.2:1050 | Устройство в режиме клиента пытается установить защищенное соединение с другим устройством, отправляя запросы на заданный адрес и заданный сетевой порт по протоколу UDP. | |
| | Интервал между попытками хэндшейка | 2 | Сколько раз устройство будет пытаться установить защищенное соединение с сервером. | | | Интервал между попытками хэндшейка | 2 | Сколько раз устройство будет пытаться установить защищенное соединение с сервером. | |
| | Уровень инкапсуляции | L4 | Данных параметр определяет заголовки, которые будут добавляться к сетевому пакету после шифрования. Для режима L4, будет добавляться заголовок L2, L3 и L4. | | | Уровень инкапсуляции | L4 | Данных параметр определяет заголовки, которые будут добавляться к сетевому пакету после шифрования. Для режима L4, будет добавляться заголовок L2, L3 и L4. | |
| | Локальный адрес туннеля | 0.0.0.0:1024 | Данных параметр означает, что после установки защищенного соединения и согласования параметров. Устройство будет ожидать зашифрованный трафик и отправлять зашифрованный трафик с заданного адреса и заданного сетевого порта по протоколу UDP. Для случая, когда параметр задан как 0.0.0.0 устройство будет использовать адрес, который был задан в параметрах хэндшейка.| | | Локальный адрес туннеля | 192.168.250.1:1024 | Данных параметр означает, что после установки защищенного соединения и согласования параметров. Устройство будет ожидать зашифрованный трафик и отправлять зашифрованный трафик с заданного адреса и заданного сетевого порта по протоколу UDP. | |
| | Удаленный адрес туннеля | Не заполняем | | | Удаленный адрес туннеля | Не заполняем | |
| |
| После задания параметров для защищенного соединения на первом и втором устройствах, необходимо сохранить настройки и запустить сервис. Для запуска сервиса необходимо в главном меню выбрать пункт "**VPN - VPN-сервис**", в таблице "**VPN-сервис**" необходимо выбрать сервис, который необходимо запустить и нажать на кнопку "**Запустить**". В таблице в графе "**Состояние**" должен появиться статус "**Сервис работает**". | После задания параметров для защищенного соединения на первом и втором устройствах, необходимо сохранить настройки и запустить сервис. Для запуска сервиса необходимо в главном меню выбрать пункт "**VPN - VPN-сервис**", в таблице "**VPN-сервис**" необходимо выбрать сервис, который необходимо запустить и нажать на кнопку "**Запустить**". В таблице в графе "**Состояние**" должен появиться статус "**Сервис работает**". |
| |
| {{ :tssltd:vpn_service_start.jpg |}} | {{ :tssltd:second_vpn_service_start.jpg |}} |
| |
| Работа сервиса означает, что устройства пробуют установить защищенное соединение согласно настройкам, которые были заданы. Фактически соединение может быть не установлено. Для проверки, что защищенное соединение установлено, можно посмотреть либо журналы событий. Для этого необходимо в главном меню выбрать пункт "**Журналы событий - Журнал VPN**". Для заданного сервиса должна быть запись вида "**Handshake finished**". Также проверить, что защищенное соединение установлено, можно через консольное подключение. Для этого необходимо подключиться к устройству по протоколу ssh, перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “show dmvpn tunnels”. | Работа сервиса означает, что устройства пробуют установить защищенное соединение согласно настройкам, которые были заданы. Фактически соединение может быть не установлено. Для проверки, что защищенное соединение установлено, можно посмотреть либо журналы событий. Для этого необходимо в главном меню выбрать пункт "**Журналы событий - Журнал VPN**". Для заданного сервиса должна быть запись вида "**Handshake finished**". Также проверить, что защищенное соединение установлено, можно через консольное подключение. Для этого необходимо подключиться к устройству по протоколу ssh, перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “show dmvpn tunnels”. |
| Tunnels by index 1/1024 | Tunnels by index 1/1024 |
| [0] sw_if_index 14, tunnel_id 1, peers count 1/100, P2P | [0] sw_if_index 14, tunnel_id 1, peers count 1/100, P2P |
| [0] tunnel_id 1, remote_peer_id 2, local_peer_id 0, remote_ep 192.168.250.1:1024, local_ep 192.168.250.2:1024, epoch 0, pipes_count 1, merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0 | [0] tunnel_id 1, remote_peer_id 9, local_peer_id 0, remote_ep 192.168.250.1:1024, local_ep 192.168.250.2:1024, epoch 0, pipes_count 1, merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0 |
| Peers by id | Peers by id |
| remote peer id 2 -> index 0 | remote peer id 9 -> index 0 |
| Peers by mac | Peers by mac |
| Tunnels by id | Tunnels by id |
| Tunnels by index 1/1024 | Tunnels by index 1/1024 |
| [0] sw_if_index 17, tunnel_id 1, peers count 1/100, P2P | [0] sw_if_index 17, tunnel_id 1, peers count 1/100, P2P |
| [0] tunnel_id 1, remote_peer_id 0, local_peer_id 3, remote_ep 192.168.250.2:1024, local_ep 192.168.250.1:1024, epoch 0, pipes_count 1, merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0 | [0] tunnel_id 1, remote_peer_id 0, local_peer_id 11, remote_ep 192.168.250.2:1024, local_ep 192.168.250.1:1024, epoch 0, pipes_count 1, merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0 |
| Peers by id | Peers by id |
| remote peer id 0 -> index 0 | remote peer id 0 -> index 0 |
| |
| На данном этапе можно утвердительно сказать, что защищенное соединение установлено и готово для обработки полезной нагрузки. | На данном этапе можно утвердительно сказать, что защищенное соединение установлено и готово для обработки полезной нагрузки. |
| | Служебный трафик (каналообразующий передается через одно сетевое подключение), полезная нагрузка через другое защищенное сетевое подключение. |
| |
| | ^ Канал связи ^ Тип трафика ^ Сетевой адрес ^ Комментарий ^ |
| | | lcp_vpn(GigabitEthernetb/0/2) - lcp_vpn(GigabitEthernete/0/2) | Служебный | 192.168.17.2 - 192.168.17.1 | По каналу передается каналообразующий сетевой трафик. | |
| | | GigabitEthernet5/0/0 - GigabitEthernet8/0/0 | Полезная нагрузка | 192.168.250.2 - 192.168.250.1 | По каналу передается полезная нагрузка. | |
| </WRAP> | </WRAP> |
| |
| Для задания ip адреса на сетевом интерфейсе VPN необходимо в главном меню выбрать пункт "**Сетевые настройки - IP адрес**". В таблице "**IP адрес**" нажать на кнопку "**Добавить IP адрес**". В новом окне, в таблице "**Настроить IP адрес**" в поле Название интерфейса" необходимо выбрать VPN интерфейс "**tap_s**", в поле IP адрес/маска подсети задать сетевой адрес "**172.16.16.2/30**". После задания параметров необходимо нажать на кнопку "**ОК**" и "**Сохранить**". | Для задания ip адреса на сетевом интерфейсе VPN необходимо в главном меню выбрать пункт "**Сетевые настройки - IP адрес**". В таблице "**IP адрес**" нажать на кнопку "**Добавить IP адрес**". В новом окне, в таблице "**Настроить IP адрес**" в поле Название интерфейса" необходимо выбрать VPN интерфейс "**tap_s**", в поле IP адрес/маска подсети задать сетевой адрес "**172.16.16.2/30**". После задания параметров необходимо нажать на кнопку "**ОК**" и "**Сохранить**". |
| |
| {{ :tssltd:ip_vpn_config.jpg |}} | {{ :tssltd:second_ip_vpn_config_1.jpg |}} |
| | |
| | {{ :tssltd:second_ip_vpn_config_2.jpg |}} |
| |
| {{ :tssltd:ip_vpn_config_2.jpg |}} | |
| |
| Для проверки связности запустим запустим трафик с использованием протокола ICMP. Для этого необходимо подключиться на "**Устройство 1**" по протоколу ssh, далее перейти перейти в режим просмотра информации на уровне “**data plane**” с помощью команды “**vppctl**” и выполнить команду "**ping 172.16.16.1**". | Для проверки связности запустим запустим трафик с использованием протокола ICMP. Для этого необходимо подключиться на "**Устройство 1**" по протоколу ssh, далее перейти перейти в режим просмотра информации на уровне “**data plane**” с помощью команды “**vppctl**” и выполнить команду "**ping 172.16.16.1**". |
| <WRAP indent> | <WRAP indent> |
| Чтобы разобраться как передаются данные через служебный канала и канал с полезной нагрузкой, представим себе, что в разрез канала мы подключили дополнительное устройство, на котором осуществляем захват сетевого трафика с помощью утилиты "**tcpdump**". | Чтобы разобраться как передаются данные через служебный канала и канал с полезной нагрузкой, представим себе, что в разрез канала мы подключили дополнительное устройство, на котором осуществляем захват сетевого трафика с помощью утилиты "**tcpdump**". |
| | В текущей конфигурации служебный (каналообразующий) трафик передается через одно физическое соединение, полезная нагрузка передается через другое физическое соединение. |
| | Осуществим захват сетевого трафика в канале, где передается служебный трафик с помощью команды "tcpdump -ni enp0s20f1 host 192.168.17.1". В примере ниже видно, что через данное физическое соединение передается только служебный трафик по порт 1025 для протокола UDP и трафик для протокола ARP. Трафика с полезной нагрузкой в данном канале нет. |
| | <code> |
| | # tcpdump -ni enp0s20f1 host 192.168.17.1 |
| | tcpdump: verbose output suppressed, use -v[v]... for full protocol decode |
| | listening on enp0s20f1, link-type EN10MB (Ethernet), snapshot length 262144 bytes |
| | 15:07:46.894532 IP 192.168.17.1.49746 > 192.168.17.2.1025: UDP, length 22 |
| | 15:07:46.894660 IP 192.168.17.2.1025 > 192.168.17.1.49746: UDP, length 22 |
| | 15:07:52.197135 ARP, Request who-has 192.168.17.1 tell 192.168.17.2, length 46 |
| | 15:07:52.197231 ARP, Reply 192.168.17.1 is-at 00:90:0b:94:63:25, length 46 |
| | 15:07:59.394304 IP 192.168.17.1.49746 > 192.168.17.2.1025: UDP, length 22 |
| | 15:07:59.396067 IP 192.168.17.2.1025 > 192.168.17.1.49746: UDP, length 22 |
| | </code> |
| |
| Для захвата сетевого трафика можно использовать такую команду "tcpdump -ni enp0s20f3 host 192.168.250.1". Если через канала не передается полезная нагрузка, то мы сможем увидеть только каналообразующий трафик, которые идет на сетевой порт 1025 по протоколу UDP и трафик протокола arp. | Теперь с помощью команды "**ping 172.16.16.1 repeat 500**" запустим пинг между устройствами через защищенное соединение и осуществить захват сетевого трафика с помощью команды "**tcpdump -ni enp0s20f1 host 192.168.17.1**". Каналообразующий трафик передается по порту 1025, полезная нагрузка передается по порту 1024. В представленном ниже пример мы видим только служебный трафик для данного канала. |
| <code> | <code> |
| # tcpdump -ni enp0s20f3 host 192.168.250.1 | # tcpdump -ni enp0s20f1 host 192.168.17.1 |
| tcpdump: verbose output suppressed, use -v[v]... for full protocol decode | tcpdump: verbose output suppressed, use -v[v]... for full protocol decode |
| listening on enp0s20f3, link-type EN10MB (Ethernet), snapshot length 262144 bytes | listening on enp0s20f1, link-type EN10MB (Ethernet), snapshot length 262144 bytes |
| 16:30:05.134706 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 <----- каналообразующий трафик | 15:07:46.894532 IP 192.168.17.1.49746 > 192.168.17.2.1025: UDP, length 22 |
| 16:30:05.145547 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 <----- каналообразующий трафик | 15:07:46.894660 IP 192.168.17.2.1025 > 192.168.17.1.49746: UDP, length 22 |
| 16:30:10.267396 ARP, Request who-has 192.168.250.1 tell 192.168.250.2, length 46 <----- arp протокол | 15:07:52.197135 ARP, Request who-has 192.168.17.1 tell 192.168.17.2, length 46 |
| 16:30:10.267499 ARP, Reply 192.168.250.1 is-at 00:90:0b:8d:70:e1, length 46 | 15:07:52.197231 ARP, Reply 192.168.17.1 is-at 00:90:0b:94:63:25, length 46 |
| 16:30:17.634496 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 | 15:07:59.394304 IP 192.168.17.1.49746 > 192.168.17.2.1025: UDP, length 22 |
| 16:30:17.634622 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 | 15:07:59.396067 IP 192.168.17.2.1025 > 192.168.17.1.49746: UDP, length 22 |
| 16:30:23.145028 ARP, Request who-has 192.168.250.2 tell 192.168.250.1, length 46 | |
| 16:30:23.145105 ARP, Reply 192.168.250.2 is-at 00:90:0b:95:ce:b5, length 46 | |
| 16:30:30.134277 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 | |
| 16:30:30.134399 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 | |
| 16:30:35.356950 ARP, Request who-has 192.168.250.1 tell 192.168.250.2, length 46 | |
| 16:30:35.357058 ARP, Reply 192.168.250.1 is-at 00:90:0b:8d:70:e1, length 46 | |
| 16:30:42.634072 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 | |
| </code> | </code> |
| |
| Теперь с помощью команды "**ping 172.16.16.1 repeat 500**" запустим пинг между устройствами через защищенное соединение и осуществить захват сетевого трафика с помощью команды "**tcpdump -ni enp0s20f3 host 192.168.250.1**". Каналообразующий трафик передается по порту 1025, полезная нагрузка передается по порту 1024. Обратите внимание, что канал построен с использование ip адресов на интерфейсах устройства, именно их мы и видим при захвате трафика. Исходные адреса из подсети "**172.16.16.0/30**", между которыми происходит обмен данными скрыты. | С помощью команды "**tcpdump -ni enp0s20f3 host 192.168.250.1**" осуществим захват сетевого трафик на втором физическом соединении, по которому передается полезная нагрузка. В примере ниже видно, что в канале отсутствует служебный трафик и передается только полезная нагрузка по порту 1024 по протоколу UDP. |
| | |
| <code> | <code> |
| # tcpdump -ni enp0s20f3 host 192.168.250.1 | # tcpdump -ni enp0s20f3 host 192.168.250.1 |
| tcpdump: verbose output suppressed, use -v[v]... for full protocol decode | tcpdump: verbose output suppressed, use -v[v]... for full protocol decode |
| listening on enp0s20f3, link-type EN10MB (Ethernet), snapshot length 262144 bytes | listening on enp0s20f3, link-type EN10MB (Ethernet), snapshot length 262144 bytes |
| 16:34:49.175445 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | 15:13:09.339624 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 68 |
| 16:34:49.175553 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | 15:13:09.340015 ARP, Request who-has 192.168.250.2 tell 192.168.250.1, length 46 |
| 16:34:50.172089 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | 15:13:09.340090 ARP, Reply 192.168.250.2 is-at 00:90:0b:95:ce:b5, length 46 |
| 16:34:50.172194 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | 15:13:27.410755 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 68 |
| 16:34:51.177408 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | 15:13:27.410888 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 68 |
| 16:34:51.177515 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | 15:13:28.420276 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 |
| 16:34:52.172056 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | 15:13:28.420386 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 |
| 16:34:52.172171 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | 15:13:29.410725 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 |
| 16:34:52.629847 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 <----- каналообразующий трафик | 15:13:29.410829 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 |
| 16:34:52.629962 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 <----- каналообразующий трафик | 15:13:30.421238 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 |
| 16:34:53.178376 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | 15:13:30.421339 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 |
| 16:34:53.178489 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | 15:13:31.410699 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 |
| 16:34:54.172034 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:34:54.172157 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:34:55.180342 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:34:55.180456 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:34:56.171996 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:34:56.172115 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:34:57.180308 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:34:57.180424 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:34:58.084387 ARP, Request who-has 192.168.250.2 tell 192.168.250.1, length 46 <----- arp протокол | |
| 16:34:58.084462 ARP, Reply 192.168.250.2 is-at 00:90:0b:95:ce:b5, length 46 <----- arp протокол | |
| 16:34:58.171958 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:34:58.172075 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:34:59.182265 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:34:59.182372 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:00.171922 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:00.172027 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:01.184237 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:01.184350 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:02.171890 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:02.171999 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:03.171870 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:03.171978 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:04.171861 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:04.171970 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:05.129626 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 | |
| 16:35:05.129741 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 | |
| 16:35:05.171839 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:05.171928 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| </code> | </code> |
| |
