Information: Forum is in read-only mode
For details and other support options see https://www.adiscon.com/news/support-forum-set-to-read-only-mode/

omudpspoof und bad cksum

This is a German-language forum for those that prefer this language. For broader audience (and quicker replies) post to the English forums if you feel comfortable enough with that.

Dies ist ein deutschsprachiges rsyslog Forum. Hier gibt es keine weitere Unterteilung wie in den Englischen Foren. Wer sich bei Deutsch wohler fühlt, der Poste hier. Man bedanke aber, das Antworten hier ob der geringeren Teilnehmerzahl länger dauern können.

Moderator: alorbach

Google Ads


omudpspoof und bad cksum

Postby con » Fri Dec 02, 2011 7:59 pm

Hallo,

ich habe folgendes Problem:

Ich habe zwei Server die erfolgreich spoofen (omudpspoof.so), beide unter RH 5.4.

Zur Übersicht:

| Client | → | Server1 | → | Syslogserver | ← | Server2 | ← | Client |

Auf den beiden Servern und dem Syslogserver läuft ein RH5.4, dort habe ich die Version Rsyslog 5.6.2 kompiliert.

Nun versuche ich das auf Ubuntu 11.10 zu übertragen, doch leider ohne Erfolg.
Auf dem Ubuntu System habe ich die Rsyslogversionen 5.8.1 und 5.6.2 ausprobiert und nutze die alten konfigs.


Ich habe mehrere Effekte, die ich hier beschreibe, vielleicht kann sich ja jemand einen Reim machen.

Im alten System habe ich mehrere Clients die Syslog an den Server senden, dieser Spooft auf den LogServer.
Nach dem gleichen Szenario will ich jetzt die Server mit Ubuntu betreiben, jedoch kommen jetzt auf dem Logserver keine Pakete mehr an. Ich sehe mit TCPdump, das die Pakete auf den Servern weitergeleitet werden, wenn ich jedoch auf dem Logserver mit TCPdump auf die Adressen des Servers oder des Clienten lausche kommt nichts an.

Server
Code: Select all
19:41:07.470420 xx:xx:xx:xx:xx:xx > yy:yy:yy:yy:yy:yy, ethertype IPv4 (0x0800), length 286: (tos 0x0, ttl 64, id 242, offset 0, flags [none], proto UDP (17), length 272, options (NOP,NOP,NOP,EOL))
    171.2.xx.xx.7805 > 171.1.yy.yy.514: [udp sum ok] SYSLOG, length: 224
        Facility local7 (23), Severity warning (4)


Syslogserver
Code: Select all
/usr/sbin/tcpdump -nnvvveXS -i eth1 -s0 src or dst 171.2.xx.xx

ABSOLUT NICHTS


Um das zu verifizieren habe ich einen virtualisierten Clienten (ClientA) auf den Server spoofen lassen und einen weiteren virtualisierten Clienten (ClientB) sendete Syslognachrichten an ClientA.

| Client B | → | Client A | → | Server |

Jetzt sehe ich auf dem Clienten A die Syslognachrichten, diese kommen jedoch wieder nicht auf dem Server an.

Client A
Code: Select all
19:46:05.888533 xx:xx:xx:xx:xx:xx > yy:yy:yy:yy:yy:yy, ethertype IPv4 (0x0800), length 286: (tos 0x0, ttl 64, id 242, offset 0, flags [none], proto UDP (17), length 272, options (NOP,EOL))
    171.2.xx.xx.2429 > 171.1.yy.yy.514: [udp sum ok] SYSLOG, length: 224
        Facility local7 (23), Severity warning (4)


Syslogserver
Code: Select all
/usr/sbin/tcpdump -nnvvveXS -i eth1 -s0 src or dst 171.2.xx.xx

ABSOLUT NICHTS



Um das noch zu komplizieren habe ich:

| Client | → | Server (Ubuntu) | → | alter Syslogserver (RH 5.4) |

Jetzt empfängt der Server Pakete von Clienten, jedoch werden diese Verworfen, da TCPDump auf dem Syslogserver sag, dass die Pakete eine bad cksum haben.

Code: Select all
19:37:31.139464 00:xx:xx:xx:xx:xx > 00:yy:yy:yy:yy:yy, ethertype IPv4 (0x0800), length 233: (tos 0x0, ttl  62, id 242, offset 0, flags [none], proto: UDP (17), length: 219, options ( NOP (1) len 1 ), bad cksum d2a1 (->d5a6)!) 172.1.x.xx.40830 > 172.2.x.xx.514: [udp sum ok] SYSLOG, length: 171
        Facility local7 (23), Severity notice (5)


Frage hat jemand omudpspoof mit ubuntu in versin 5.x am laufen?
Hat jemand eine Idee wie man den Fehler weiter eingrenzen kann?
Ich Tippe nicht direkt auf Rsyslog, sondern vielleicht auf eine lib?!

Ich würde ja gern einen Bugreport aufmachen … aber bei dem Fehlerbild :o{

gruß Con
con
New
 
Posts: 3
Joined: Tue Dec 21, 2010 5:15 pm

Urgent Question?

  • Pulling out your Hair?
  • Wasting Time and Money?
  • Deadline Approaching?

Google Ads


Return to Deutsches rsyslog Forum

Who is online

Users browsing this forum: No registered users and 1 guest

cron