• exercițiu
  • captură de trafic cu tcpdump pentru trafic SSH

La exercițiul 02. [10p] Port forwarding pentru accesare serviciu web am observat cum se modifică adresa IP sursă în cazul translatării de adrese. La port forwarding (DNAT) vom observa cum se modifică adresa IP destinație (de aici și numele de Destination NAT).

Realizați o conexiune SSH de pe mașina fizică (cea cu Desktop) pe portul 22000 pentru a vă conecta la stația red, după care porniți comanda ping 8.8.8.8.

Într-un alt terminal, pe stația host porniți captura de pachete pe interfața veth-red:

root@host:~# tcpdump -i veth-red
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on veth-red, link-type EN10MB (Ethernet), capture size 65535 bytes
^C13:48:09.913394 IP 192.168.138.1.53916 > red.ssh: Flags [P.], seq 2954975148:2954975200, ack 2484938071, win 16335, length 52

Observați că adresa IP destinație este red și portul ssh(22), deși voi v-ați conectat pe adresa IP a stației host și portul 22000. Pentru a vedea cum arată pachetele înainte de DNAT, vom porni captura de trafic pe interfața eth0:

root@host:~# tcpdump -i eth0 dst port 22000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:53:37.564071 IP 192.168.138.1.53916 > host.local.22000: Flags [.], ack 2484940535, win 16121, length 0
13:53:38.565650 IP 192.168.138.1.53916 > host.local.22000: Flags [.], ack 153, win 16083, length 0
13:53:39.567203 IP 192.168.138.1.53916 > host.local.22000: Flags [.], ack 305, win 16425, length 0
13:53:40.568971 IP 192.168.138.1.53916 > host.local.22000: Flags [.], ack 457, win 16387, length 0

Observați că adresa IP destinație este host și portul este 22000. La comanda de captură s-a mai adăugat un filtru suplimentar pentru a nu captura traficul SSH generat de conexiunea curentă la stația host.