Buenas muchachos! (y muchachas)

Estoy analizando el trafico de un sistema que tiene conexión por red movil (3G) y hay unos paquetes que se repiten cada minuto que no consigo saber que son.
Los he capturado con el ethereal y lo que me saca "me" parece como paquetes vacios.

Esta es la peticion de mi sistema:

7 60.903217000 10.144.37.148 64.233.167.100 TCP 76 54294→80 [SYN] Seq=0 Win=28000 Len=0 MSS=1400 SACK_PERM=1 TSval=361917 TSecr=0 WS=64


Y esta la respuesta:
8 61.590841000 64.233.167.100 10.144.37.148 TCP 76 80→54294 [SYN, ACK] Seq=0 Ack=1 Win=42540 Len=0 MSS=1420 SACK_PERM=1 TSval=3759731048 TSecr=361917 WS=128

Os adjunto el .cap por si os "apetece" verlo :awesome:

42316


Gracias miles!

Si son periodicos y parecen estar vacíos es más que probable que sean paquetes KeepAlive para mantener una conexión abierta.

Saludos, Nakio.

Será eso, pero en algunas pruebas veo que no hace esos keep alive 😕

Y sobre unas peticiones dns que realizo a 192.0.168.192-arpa.net? Sabéis que pueden ser?

Gracias

En tu red local tienes un 192.168.0.192 ?
Estoy oxidado pero juraría que está haciendo un DNS inverso para saber qué nombre tiene esa IP

Por lo que veo, básicamente repite la siguiente secuencia:

- Se conecta (SYN) al puerto 80 de 64.233.167.100 (no resuelve DNS, pero parece Google)
- Recibe el SYN-ACK del servidor
- Manda un cierre de conexión (FIN-ACK)
- Recibe el ok del servidor

Parece que algún proceso está asegurándose periódicamente de que hay conexión a Internet.

Lo de las búsquedas DNS es efectivamente una petición inversa (registro PTR). Vete tú a saber qué proceso y por qué está buscando esa IP.

¿Ya se hacen unboxings de TCP?

Muchas gracias por la ayuda.

He dejado el sistema unos cuantos días almacenando el trafico y parece que las conexiones para mantener viva "la sesion" no se repiten siempre.
Por lo que ví en el log del sistema, provenian del processo pppd, que es el encargado de establecer la conexión con el APN, asique aunque no sé porque lo hace, me quedo mas tranquilo viendo que el trafico de esos paquetes no es permanente.
Sobre el DNS reverso, tambien podía ser algun host dando morcilla en la red local donde lo enchufé. Tampoco se ha repetido.

Lo dicho, gracias por vuestro tiempo

He dejado el sistema unos cuantos días almacenando el trafico
necesitas una novia.

sabeis como fisgar en trafico de wifi teniendo la clave?

necesitas una novia.

sabeis como fisgar en trafico de wifi teniendo la clave?

No puedes sólo con eso (o al menos no de manera normal). Tu al conectarte a una wifi utilizas una clave, con esa clave se hace una primera negociación y luego el router y/o tu ordenador (no estoy seguro de cual lo hace) generan claves nuevas y usan claves distintas para cada persona y cada conexión, para poder "fisgar" en los paquetes de otros necesitarías esas claves. A efectos de funcionamiento y poder cotillear lo de otros es como si estuvieses tras un switch.

Otra cosa es que sepas la clave de administrador del router y que este sea semidecente, de ser así directamente puedes hacer mirror de las conexiones que quieras y dirigirlas al puerto que tu quieras (maravilloso poder cotillear como 20 personas en horario laboral están cargando el facebook simplemente mirando las cabeceras de los paquetes de red)

-----Actualizado-----


Muchas gracias por la ayuda.

He dejado el sistema unos cuantos días almacenando el trafico y parece que las conexiones para mantener viva "la sesion" no se repiten siempre.
Por lo que ví en el log del sistema, provenian del processo pppd, que es el encargado de establecer la conexión con el APN, asique aunque no sé porque lo hace, me quedo mas tranquilo viendo que el trafico de esos paquetes no es permanente.
Sobre el DNS reverso, tambien podía ser algun host dando morcilla en la red local donde lo enchufé. Tampoco se ha repetido.

Lo dicho, gracias por vuestro tiempo

No sabía que las conexiones en los móviles usaban el pppd. En los modems viejunos (los que hacían ruiditos y se conectaban a 28kbps) pppd se pasaba todo el **** día haciendo keep-alive para que no se cerrase la conexión del modem. Hace años que no trasteo con esas cosas, pensaba que ese proceso era sólo para conexiones de discado.

No puedes sólo con eso (o al menos no de manera normal). Tu al conectarte a una wifi utilizas una clave, con esa clave se hace una primera negociación y luego el router y/o tu ordenador (no estoy seguro de cual lo hace) generan claves nuevas y usan claves distintas para cada persona y cada conexión, para poder "fisgar" en los paquetes de otros necesitarías esas claves. A efectos de funcionamiento y poder cotillear lo de otros es como si estuvieses tras un switch.

Otra cosa es que sepas la clave de administrador del router y que este sea semidecente, de ser así directamente puedes hacer mirror de las conexiones que quieras y dirigirlas al puerto que tu quieras (maravilloso poder cotillear como 20 personas en horario laboral están cargando el facebook simplemente mirando las cabeceras de los paquetes de red)

-----Actualizado-----



No sabía que las conexiones en los móviles usaban el pppd. En los modems viejunos (los que hacían ruiditos y se conectaban a 28kbps) pppd se pasaba todo el **** día haciendo keep-alive para que no se cerrase la conexión del modem. Hace años que no trasteo con esas cosas, pensaba que ese proceso era sólo para conexiones de discado.Evidentemente en los móviles se hacen keep-alive. De hecho en GSM el móvil manda mensajes de señalización cada X tiempo y si el terminal no envía mensajes a tiempo la red asume que estás sin batería o apagado y no hace ni el intento de enviarte las llamadas o los SMS.