https://www.opennet.ru/openforum/vsluhforumID1/91473.html Помогите, Уважаемые. Что-то у меня лыжи уже 3-й день не едут с расшифровкой одного значения пакета, перехваченного tcpdump-ом.<br><br>клиент подключается по VPN (Linux, poptop, шифрование не используетя).<br><br>схема соединения:<br>[CLIENT 192.168.0.2 (192.168.10.2)]&lt;-&gt;<br>[192.168.0.1 (192.168.200.1) SERVER NAT]&lt;-&gt;<br>[77.234.201.242 OPENNET.RU]<br><br>в круглых скобках указанны адреса, используемые для текущего VPN-соединения.<br><br>ловим пакет на ethernet-интерфейсе, ч/з который подключен VPN-клиент:<br><br>tcpdump -t -n -e -i eth1 -X "dst host 192.168.0.2 and proto 47"<br><br>00:14:d1:52:78:e4 &gt; 00:17:31:58:dc:fd, ethertype IPv4 (0x0800), length 317: IP 192.168.0.1 &gt; 192.168.0.2: call 0 seq 2293 gre-ppp-payload<br> 0x0000: 4500 012f be49 4000 402f fa02 c0a8 0001 E../.I@.@/......<br> 0x0010: c0a8 0002 3001 880b 010f 0000 0000 08f5 ....0...........<br> 0x0020: 2145 0001 0e97 d140 0035 06ca 914d eac9 !E.....@.5...M..<br> 0x0030: f2c0 a80a 0200 509e 64e2 6f8c fd26 95ac ......P.d.o..&..<br> 0x0040: 025 https://www.opennet.ru/openforum/vsluhforumID1/91473.html#12 Sat, 14 May 2011 21:36:49 GMT &gt;[оверквотинг удален]<br>&gt; equal "1". Also, all Protocols <br>&gt; MUST be assigned such that the <br>&gt; least significant bit of the most <br>&gt; significant octet equals "0".<br>&gt; Frames received which don't comply with <br>&gt; these rules MUST be <br>&gt; treated as having an unrecognized Protocol. <br>&gt; [/code] <br>&gt; Из второго абзаца я понял, что первый байт из 0x0021 можно опускать, <br>&gt; если он равен 0x00.<br><br>Мой земной поклон и благодарность. Глаз замылился/читал книгу - фидел фигу/итд ). Еще раз спасибо огромное.<br> https://www.opennet.ru/openforum/vsluhforumID1/91473.html#11 Fri, 13 May 2011 08:02:17 GMT &gt;Что-то у меня лыжи уже 3-й день не едут с расшифровкой одного значения пакета, перехваченного tcpdump-ом<br>&gt;&gt; для меня тоже больше спортивный в данном случае.<br><br>Люди, а не проще было бы сделать стенд (хоть на виртуалках), запустить снифер (вирешарк например), который все поля в соответствие с RFC сам разбирает и описывает их?<br> https://www.opennet.ru/openforum/vsluhforumID1/91473.html#10 Thu, 12 May 2011 12:18:52 GMT &gt;&gt; Из того, что я понял: <br>&gt;&gt; После заголовка GRE, идет заголовок PPP-инкапсуляции (первая ссылка), который состоит <br>&gt;&gt; из поля протокола, занимающего 1 или 2 байта и всякого мусора.<br>&gt;&gt; Значение 0x21 для поля протокола: IP-пакет (вторая ссылка).<br>&gt; подробней можно по 2-й ссылке (цитату) - у меня видимо лыжи не <br>&gt; едут совсем на этот вопрос... глаз замылился. 0x21 - ОДИН байт <br>&gt; (не 0x0021). где там оно в rfc?<br>&gt; хотя думаю, что скорее всего Вы правы. надо просто исходник poptop поглядеть <br>&gt; (так не хотелось, но придется - дело принципа :)). наверное дело <br>&gt; в реализации... спасибо.<br><br>Из 1-й ссылки про поле протокола:<br>[code]<br> The Protocol field is one or two octets, and its value identifies<br> the datagram encapsulated in the Information field of the packet.<br> The field is transmitted and received most significant octet<br> first.<br><br> The structure of this field is consistent with the ISO 3309<br> extension mechanism for address fields. All Protocols MUST be<br> odd; the le https://www.opennet.ru/openforum/vsluhforumID1/91473.html#9 Wed, 11 May 2011 22:13:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; один год их уже читаю) - этому свидетельство моя приведенная расшифровка <br>&gt;&gt; пакета. к тому же, учитывая наличие GRE и его несколько специфичную <br>&gt;&gt; реализацию в poptop, данных ссылок явно недостаточно для ответа.<br>&gt;&gt; вопрос уперся только в одно значение, которое я понять не могу. не <br>&gt;&gt; надо ссылок - просто если знаете (или есть предположения), то просто <br>&gt;&gt; скажите что это такое.<br>&gt; Из того, что я понял: <br>&gt; После заголовка GRE, идет заголовок PPP-инкапсуляции (первая ссылка), который состоит <br>&gt; из поля протокола, занимающего 1 или 2 байта и всякого мусора. <br>&gt; Значение 0x21 для поля протокола: IP-пакет (вторая ссылка).<br><br>подробней можно по 2-й ссылке (цитату) - у меня видимо лыжи не едут совсем на этот вопрос... глаз замылился. 0x21 - ОДИН байт (не 0x0021). где там оно в rfc? <br><br>хотя думаю, что скорее всего Вы правы. надо просто исходник poptop поглядеть (так не хотелось, но придется - дело принципа :)). наверное дело в реализации... спасибо.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91473.html#8 Wed, 11 May 2011 20:54:32 GMT &gt;&gt; http://www.faqs.org/rfcs/rfc1661.html <br>&gt;&gt; http://www.faqs.org/rfcs/rfc1332.html <br>&gt; спасибо конечно за ссылки), но я уже писал, что rfc читал (не <br>&gt; один год их уже читаю) - этому свидетельство моя приведенная расшифровка <br>&gt; пакета. к тому же, учитывая наличие GRE и его несколько специфичную <br>&gt; реализацию в poptop, данных ссылок явно недостаточно для ответа.<br>&gt; вопрос уперся только в одно значение, которое я понять не могу. не <br>&gt; надо ссылок - просто если знаете (или есть предположения), то просто <br>&gt; скажите что это такое.<br><br>Из того, что я понял:<br>После заголовка GRE, идет заголовок PPP-инкапсуляции (первая ссылка), который состоит из поля протокола, занимающего 1 или 2 байта и всякого мусора. Значение 0x21 для поля протокола: IP-пакет (вторая ссылка).<br> https://www.opennet.ru/openforum/vsluhforumID1/91473.html#7 Wed, 11 May 2011 20:07:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt; кто-то эти значения расшифровывает. Кстати, как так научились разбирать эти 16-ричные <br>&gt;&gt; значения, что чему соответствует, где читали? интересно было бы почитать <br>&gt; Для меня в данном конкретном случае -- спортивный интерес. А так иногда <br>&gt; бывает, что какой-нибудь сервис не работает как нужно и в логи <br>&gt; ничего толком не пишет (вспоминается Samba старых версий). И как назло <br>&gt; в tcpdump/wireshark нет диссектора (или он неполон) для этого протокола.<br>&gt; Или это вообще не сетевой протокол, а какой-нибудь файл в специфическом формате <br>&gt; (вспоминается xls/doc/dbf и т.п.) и библиотек под нужный ЯП либо нет, <br>&gt; либо они не умеют делать, то что тебе нужно (такое правда <br>&gt; у меня было давно).<br><br>для меня тоже больше спортивный в данном случае. <br><br>задача стояла настроить шейпинг poptop-клиентов, которые без шифрования подключаются. неиспользуемая ширина канала должна распределяться м/ду клиентами без использования imq (его просто нет - сервак старый, ядро старое и пересобирать все - https://www.opennet.ru/openforum/vsluhforumID1/91473.html#6 Wed, 11 May 2011 19:38:01 GMT &gt; http://www.faqs.org/rfcs/rfc1661.html <br>&gt; http://www.faqs.org/rfcs/rfc1332.html <br><br>спасибо конечно за ссылки), но я уже писал, что rfc читал (не один год их уже читаю) - этому свидетельство моя приведенная расшифровка пакета. к тому же, учитывая наличие GRE и его несколько специфичную реализацию в poptop, данных ссылок явно недостаточно для ответа. <br><br>вопрос уперся только в одно значение, которое я понять не могу. не надо ссылок - просто если знаете (или есть предположения), то просто скажите что это такое.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91473.html#5 Tue, 03 May 2011 16:47:25 GMT &gt;&gt; http://www.faqs.org/rfcs/rfc1661.html <br>&gt;&gt; http://www.faqs.org/rfcs/rfc1332.html <br>&gt; а зачем вы все это делаете???я вот вообще первый раз вижу, что <br>&gt; кто-то эти значения расшифровывает. Кстати, как так научились разбирать эти 16-ричные <br>&gt; значения, что чему соответствует, где читали? интересно было бы почитать <br><br>А разбирать в основном описания протоколов и форматов либо открыты, либо в Сети можно найти их описание.<br> https://www.opennet.ru/openforum/vsluhforumID1/91473.html#4 Tue, 03 May 2011 16:46:15 GMT &gt;&gt; http://www.faqs.org/rfcs/rfc1661.html <br>&gt;&gt; http://www.faqs.org/rfcs/rfc1332.html <br>&gt; а зачем вы все это делаете???я вот вообще первый раз вижу, что <br>&gt; кто-то эти значения расшифровывает. Кстати, как так научились разбирать эти 16-ричные <br>&gt; значения, что чему соответствует, где читали? интересно было бы почитать <br><br>Для меня в данном конкретном случае -- спортивный интерес. А так иногда бывает, что какой-нибудь сервис не работает как нужно и в логи ничего толком не пишет (вспоминается Samba старых версий). И как назло в tcpdump/wireshark нет диссектора (или он неполон) для этого протокола.<br>Или это вообще не сетевой протокол, а какой-нибудь файл в специфическом формате (вспоминается xls/doc/dbf и т.п.) и библиотек под нужный ЯП либо нет, либо они не умеют делать, то что тебе нужно (такое правда у меня было давно).<br>