https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html После двухнедельного закрытого (http://seclists.org/oss-sec/2017/q3/413) распространения среди разработчиков дистрибутивов открыт (http://seclists.org/oss-sec/2017/q3/440) публичный доступ к релизу сетевого анализатора трафика tcpdump 4.9.2 (http://www.tcpdump.org). Задержка открытия публичного доступа к релизу обусловлена устранением 92 уязвимостей (http://www.tcpdump.org/tcpdump-changes.txt), 2 из которых могут привести к переполнению буфера и выполнению кода злоумышленника при обработке определённого вида трафика. 4 уязвимости могут привести к зацикливанию процесса, а остальные 86 проблем связаны с возможностью чтения из областей вне границ выделенного буфера. Проблемы обнаружены в коде разбора содержимого различных форматов и протоколов.<br><br>URL: http://seclists.org/oss-sec/2017/q3/440<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=47196<br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#46 Sun, 17 Sep 2017 12:17:18 GMT &gt; Однако когда работал в провайдинге, то без tcpdump там можно сказать было нечего делать.<br>&gt; Он наверное находился на втором месте после ping. <br><br>я, видимо, в каком-то неправильном провайдинге работал - ни ping, ни tcpdump не использую там практически никогда. (tcpdump просто никогда)<br><br>для контроля доступности своего оборудования есть методы попроще и поавтоматичнее, а tcpdump и запускать-то особо негде, и незачем.<br><br>&gt; да и сейчас не думаю что он есть повсеместно.<br><br>ну, мои соболезнования работающим в отстoйниках, вынужденным пользоваться помойным софтом вместо железа - а потом их еще и хакают через дырки в не по назначению используемом софте, хехехе.<br>А что, нормальных работодателей в этой сфере уже не осталось, один ростелеком?<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#45 Fri, 15 Sep 2017 18:51:23 GMT &gt; Я вот за последние три года помню буквально два случая, когда tcpdump мне понадобился. <br><br>Это говорит только о специфике конкретно вашей работы. На моей нынешней например тоже он не часто бывает нужен, хотя почаще, и как раз в ситуациях типа:<br><br>&gt; А от tcpdump обычно больше толку, когда распутываешь внутреннюю логику софта<br><br>Их погромисты организовывают порою предостаточно, и им нужно предъявить пруфлинки с пояснением почему они не правы. Ни netstat ни фаерволл в таком случае не канают. Так же как и в ситуации когда надо за N'ное время отследить наличие/отсутствие активности на сервисе с пониманием что это за активность.<br><br>Однако когда работал в провайдинге, то без tcpdump там можно сказать было нечего делать. Он наверное находился на втором месте после ping. Тут тебе и поимка несанкционированно воткнутых задом-наперёд soho роутеров раздающих dhcp, и детектирование петель в L2, и много других забавных ситуаций. Да, ряд из этих проблем автоматически решается управляемым оборудованием, но тогда такого жиру https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#44 Fri, 15 Sep 2017 17:27:16 GMT &gt; Ну вот помнит это несчастный админ, и что дальше?<br><br>дальше - не хвататься за свой любимый микроскоп каждый раз, как что-то кажется ему странным.<br>Я вот за последние три года помню буквально два случая, когда tcpdump мне понадобился. Причем не в смысле решил какую-то проблему, а мне было интересно посмотреть, что за хрень такая.<br><br>В обычных же случаях вполне достаточно netstat, правил файрвола и аккуратности.<br><br>&gt; Безусловно, но я сейчас говорю именно о ситуациях когда действительно полезно посмотреть<br>&gt; в трафик.<br><br>еще раз - "полезно" не означает, что траффик непременно внешний и с подозрением на кульхакеров. В таких случаях действительно лучше перестраховаться и надеть два презерватива, а от секаса воздержаться. А от tcpdump обычно больше толку, когда распутываешь внутреннюю логику софта, и оба конца под твоим контролем.<br><br>&gt; Но главное, ведь руководствуясь вашей же логикой про "сговор" - во многих случаях это не<br>&gt; даст решительно ничего. <br><br>ну вот в этот раз - дало бы, поскольку новая версия лежала где https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#43 Fri, 15 Sep 2017 16:05:15 GMT &gt; tcpdump в плане безопасности чем-то напоминает sendmail<br><br>Мне скорее wireshark...<br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#42 Fri, 15 Sep 2017 13:08:50 GMT &gt; На чём, кстати, написан tcpdump? :))))))))))))))) <br><br>На чем, говоришь, крутились у эпикфакса 140 миллионов стыренных данных?<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#41 Fri, 15 Sep 2017 12:03:26 GMT &gt; ну вот просто помнить, что мало того что программы ненадежны, так еще и есть корпоративный сговор, соответственно, некоторые "zero day" <br><br>Ну вот помнит это несчастный админ, и что дальше? Каждый раз локтём креститься должен перед запуском, или что? Перенаправлять гигабиты трафика на физически изолированный хост (а если такой возможности нет, особо когда надо решать проблему "быстро, вот прям ща")? Что-то третье?<br><br>&gt; В конце-концов, далеко не любая "невидаль" с сетевым приложением происходит с внешним траффиком.<br><br>Безусловно, но я сейчас говорю именно о ситуациях когда действительно полезно посмотреть в трафик.<br><br>&gt; Ну и не лениться сайт проверять<br><br>Это всё прекрасно, если: а) есть на это время; б) не слишком большой зоопарк софта.<br><br>Но главное, ведь руководствуясь вашей же логикой про "сговор" - во многих случаях это не даст решительно ничего. Ведь уязвимость хоть и известна, но не опубликована.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#40 Fri, 15 Sep 2017 08:20:03 GMT &gt;tcpdump в плане безопасности чем-то напоминает sendmail<br><br>Единственный приличный коммент и конечно в глубоком минусе, всё так по-опеннетовски.<br><br>На чём, кстати, написан tcpdump? :)))))))))))))))<br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#39 Fri, 15 Sep 2017 05:36:49 GMT tcpdump на rust ещё не написали? <br> https://ssl.opennet.dev/openforum/vsluhforumID3/112219.html#38 Thu, 14 Sep 2017 23:15:25 GMT &gt;как будто в нем code exec редкость... <br><br>man сарказм<br>:)<br>