]> git.somenet.org - pub/jan/netsec2.git/blob - exercise1.tex
SomeNet / public repos / pub / jan / netsec2.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
asdf2
[pub/jan/netsec2.git] / exercise1.tex
1 % tunet und eduroam down...
2
3 \section{Rep:1.a}
4 Own IP: 192.168.67.37
5
6 \section{Rep:1.b}
7 192.168.67.83
8
9 \section{Rep:1.c}
10 ip.addr == 192.168.67.83
11
12 \section{Rep:1.d}
13 Unusable features:
14 No. -> generated while monitoring
15 fixed values:
16 Source IP (192.168.67.83), Destination IP (192.168.67.37), Protocol (UDP), Length (82), TTL (64), Dest port (118), Flags (empty), Frag offset (0)
17
18
19 \section{Rep:1.e}
20
21
22 repeating transfers, transfers seem separable over time via the udp.srcport attribute
23
24 filtered traffic via wireshark again by source port 51899
25
26 reexported to csv
27
28 reimported to rapidminer
29
30 \section{Rep:1.f}
31 dscp + timing changes.
32
33 the DSCP value grows until 10962
34 grows until time 6.55
35 then it's fixed on DSCP 10962
36
37 \section{Rep:1.g}
38 Dest port == 118
39
40 \section{Rep:1.h}
41 siehe bladecode.py
42
43 \section{Rep:1.i}
44 some bits are broken, as the timing and my decodes is more a hack.
45
46 a hack is a hack is a hack ... :)
47
48
49
50 \section{Rep:1.j}
51 filtered away nfs and ssh
52 !(tcp.port == 666 || tcp.port == 2049)
53 asdf.{pcap,csv}
54
55 look at it via rapidminer
56 image:stream2.pdf
57
58 ((ip.addr eq 192.168.67.81 or ip.addr eq 192.168.67.82 or ip.addr eq 192.168.67.83) and ip.addr eq 192.168.67.37)
59 better.{pcap,csv}
60
61 look at it again via rapidminer
62 image:stream\_better.pdf
63
64 dest ports are always first 80/udp, then 443/udp, then 465/tcp
65
66 filtered for one complete transaction
67 tcp.port == 56533 or udp.port == 50293 or udp.port == 56040
68 cool.{pcap,csv}
69
70 look at it again via rapidminer
71 image:stream\_cool.pdf
72
73
74 \section{Rep:1.k}
75 Unusable features:
76 No. -> generated while monitoring
77 fixed values:
78 TTL (64), Frag offset (0)
79
80 Time:
81 does not look like timing, packets arrive in almost equal distances (10ms sequence)
82
83 Flags:
84 0x0002: SYN (1x)
85 0x0012: SYN,ACK (1x)
86 0x0010: ACK (602x)
87 0x0018: ACK,PSH (600x)
88 0x0011: ACK,FIN (2x)
89
90 Expected distribution of values
91
92 \section{Rep:1.l}
93 not a high variance detected:
94 \begin{itemize}
95 \item UDP Stream from 192.168.67.83:56040 to 192.168.67.37:80
96 \item UDP Stream from 192.168.67.82:50293 to 192.168.67.37:443
97 \item TCP Traffic between 192.168.67.81:56533 to 192.168.67.37:465
98 \end{itemize}
99
100 Length also does not vary very much:
101 \begin{itemize}
102 \item Length 60 for Source Port 56040/udp
103 \item Length 60 for Source Port 52093/udp
104 \item Length 70 for ACK,PSH (600x), 74 for SYN (1x), 66 for ACK (1x) and 66 for FIN (1x) for Source Port 56533/tcp
105 \item Length 66 for ACK, 74 for SYN,ACK for Source Port 465/tcp
106 \end{itemize}
107
108 \section{Rep:1.m}
109 Unknown, because we do have two shorter transmissions before a longer transmission from different source ips
110
111 \section{Rep:1.n}
112 Not yet. We do not know if the three transmissions are connected to each other
113
114 \section{Rep:1.o}
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129