tomeye

Η πίτσα να είναι κομμένη σε tiles παρακαλώ

Το συγκεκριμένο feature υπάρχει πολλά χρόνια, από τότε που ο firefox εμφάνισε για πρώτη φορά τα tabs. Μάλιστα το καλό είναι πως δουλεύει σε όλους τους browsers και επίσης μπορείς να κλείσεις κάποιο tab κάνοντας middle-click πάνω του. Αν το μάθεις πάντως δεν ξεκολλάς!!

To wireshark απέκτησε cloud έκδοση όπου πλέον μέσω browser μπορούμε να ανοίξουμε network traces. Πολύ καλή σκέψη ειδικά σε περιπτώσεις όπου δεν έχουμε πρόσβαση τοπικα από κάποιο tool για ανάλυση. http://www.cloudshark.org

Τώρα έχεις για 64hosts 3-4 providers πόσο πιο δύσκολο να γίνει; Θα προσθέσεις redundancy & high availability για να μην πω για το administration overhead που θα γλιτώσεις. Υποψιάζομαι πως ούτε dhcp δεν μπορείς να έχεις αυτή τη στιγμή στο δίκτυο. Σκέψου πόσο χρόνο θα γλιτώσεις για να ασχοληθείς με τα πραγματικά προβλήματα και τότε όντως θα είναι πιο έυκολο να κάνεις troubleshoot τα προβλήματα που αναφέρεις, τώρα από που να το πιάσεις και που να το αφήσεις!

Καλησπέρα, Θα έλεγα πως το διάγραμμα σου μου φάνηκε περίεργο και η πρώτη απορία που έχω είναι τι κάνεις με τα gateways? Δηλαδή έχεις 3 routers = 3 gateways ποιο χρησιμοποιείς και που; Επίσης θέλεις να πετύχεις high availability με τόσους routers και αν ναι πως το πετυχαίνεις?

Η παρουσίαση του stuxnet ενώ δεν ήταν άμεσα τεχνική ήταν πολύ ουσιώδης παρουσιάζοντας σφαιρικά το ζήτημα, έυγε!

Όλα δείχνουν πως πρόκειται για blackhole router αλλά το περίεργο είναι γιατί το κάνει μόνο με το yahoo. Προσωπικά χρησιμοποιώ και το mturoute για να βρίσκω το max mtu μιας διαδρομής. http://www.elifulkerson.com/projects/mturoute.php Μπορείς να δοκιμάσεις και το path mtu discovery http://msdn.microsoft.com/en-us/library/ms817967.aspx Πάντως γενικά σε τέτοιες περιπτώσεις αν μειώσεις το mtu σε ~1400 όλα δουλεύουν μια χαρά γιατί αν πρόκειται για προβληματικό router και δεν βρίσκεις update τότε άστα...

Έτσι όπως φαίνεται τώρα, χάνεται ένα packet και μετά κλείνει το connection πολύ περίεργο για να είναι δικτυακό πρόβλημα. Τo brightmail τι ακριβώς κάνει;

Kαι μετά το rcpt to? Επίσης στο 473 το SACK είναι Permitted? Αυτό είναι μεταξύ fw - router?

Δοκιμασε να απενεργοποιήσεις ότι application firewall feature υπάρχει για το smtp στο firewall και το router.

Ξέρεις τι άλλο είναι περίεργο πως ενώ προσπαθείς να στείλεις στο yahoo άρα ο mail server πρέπει να ξεκινήσει το connection δε φαίνεται αυτό. Για παράδειγμα στο http://autoexec.gr/forums/storage/23/32916/before_fw.gif το connection ξεκινάει από την 206.χ.χ. (yahoo) ενώ θα έπρεπε να συμβαίνει το ανάποδο. Το ίδιο αν θυμάμαι καλά συμβαίνει σε όλα τα traces που έχεις δείξει. Μήπως έχει ξεχάσει/μπερδέψει κάτι;

Δεν υπάρχει mtu αντίστοιχο για κάθε domain. Κάτι συμβαίνει στο router/fw. Μπορείς να ανεβάσεις κάποιο unfiltered trace?

Άρα μάλλον μιλάμε για blackhole router, στην ουσία έχει μικρότερο MTU και δεν ενημερώνει με ICMP (fragmentation needed and DF set), αυτός είναι ο και λόγος που σε ρώτησα για το φίλτρο που χρησιμοποίησες όταν μας έδειχνες τα traces γιατί αν δεν μιλάμε για blackhole θα πρέπει να λάμβανες icmp που αν έχεις λάθος φίλτρο δε θα το βλέπεις. Ο router τι mtu έχει στο lan? How to Troubleshoot Black Hole Router Issues Diagnoses and treatment of black hole routers http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml Δες το κομμάτι για το fragmentation - reassembly.

Από το τrace για το yahoo φαίνεται πως χάνεται κάποιο frame γίνεται retrasmit 3 φορές και μετά στέλνει rst για να κλείσει τo connection αφού δεν έλαβε απάντηση. Μάλλον κάτι με το router σου συμβαίνει όταν στέλνει fragments 1400+ στο yahoo. Επίσης τι φίλτρο χρησιμοποιείς; tcp.port==25 ? ή κάνεις follow tcp stream? Μπορείς να χρησιμοποιήσεις tcp.port==25?

Μήπως σου έχει ξεμείνει πουθενά κανένα παλιό Hub? Αν είναι cisco (pix etc) ενεργοποίησε το sysloging και στήσε κάποιον πχ kiwi και δες εκεί τι γίνεται. Ίσως βέβαια αν βλέπαμε ολόκληρο το trace να βοηθούσε.

Μπορείς να κάνεις ταυτόχρονο network trace στον stmp & external interface του fw? Μήπως το fw έχει κάποια ρύθμιση για smtp?

Και πως είναι τώρα η υποδομή; mail server και μετά;

Από περιέργεια τι έφταιγε;

Καλημέρα, από αυτό που βλέπω νομίζω πως έχει κάποιο firewall/IDS μπροστά από το 192.x.x.x και μπλοκάρει το περιεχόμενο του μυνήματος που προσπαθεί να σταλθεί. Τα dup ack που στέλνονται και προς τις 2 μεριές σημαίνει πως τα frames 52190 & 52188 δεν τα παρέλαβαν ο 74.χ& 192.χ αντίστοιχα. Βέβαια στη συνέχεια ο 192.χ στέλνει ξανά αυτό που του ζητήθηκε (3 retransmissions) αλλά τελικά ο 192.χ αποφασίζει να κλείσει τη σύνδεση με TCP RST. Άρα αυτό που βλέπουμε είναι μάλλον 3 retries και τέλος κλείσιμο που είναι λογική συμπεριφορά, όλα δείχνουν λοιπόν σε κάτι ενδιάμεσο που φιλτράρει/κόβει κομμάτια πληροφορίας. Τέλος όσον αφορά το fragmentation που αναφέρεις δεν πρόκειται για IP fragmentation που θα σήμαινε κάποιο θέμα με MTU αλλά το wireshark καταλαβαίνει πως είναι data fragments δλδ προφανώς το περιεχόμενο του μυνήματος που απλά έχει κοπεί σε 3-4 tcp packets λόγω του MTU. Δοκιμάσε να στείλεις ένα μήνυμα χωρίς τπτ επιπλέον, plain text χωρίς υπογραφές, εικόνες κλπ.

Πολύ καλό βιντεάκι που περιγράφει την κατάσταση http://www.cisco.com/assets/sol/sp/ipv6_discovery/

Συγχαρητήρια! Τέτοια προβολή χρειάζεται για τη δουλειά που έχει γίνει. Τελικά δεν ήμουν ο μόνος που κόλλησε με τη παραπάνω είδηση.

Στο τέλος έφτιαξαν και web javascript μορφή του tool όπου δε χρειαζόταν να κάνεις download τίποτα απλά μέσω το browser πήγαινες στο αντιστοιχο site και έκανες attack Όλα αυτά βέβαια δείχνουν πως τελικά μπορεί να υπάρξει δύναμη στο Internet

Με βλέπω με μπράβους στη σκηνή....