I provider reindirizzano gli speedtest sui propri server?

aternopae · 2022-08-10T13:32:21+00:00

Messaggi spostati da: https://forum.fibra.click/d/32447 Nick1997 Prova a seguire questa guida: https://fibra.click/speedtest/ Scusate se mi permetto ma que...

LATIITAY

aternopae oh sei de coccio eh... Sta facendo HTTPS sulla porta 8080. Se non mi credi apri entrambi e vedi: http://test.eolo.it:8080/ https://test.eolo.it:8080/

Inoltre se vuoi prova a far riconoscere a Wireshark la 8080 come HTTPS e non HTTP e vedi che te lo riconosce...

nanomad HI {GUID}
GETIP
CAPABILITIES

A cui il server risponde con
HELLO 2.9 (2.9.2) 2021-11-30.2159.ffae0e0
YOURIP 151.21.xxx.xxx
CAPABILITIES SERVER_HOST_AUTH UPLOAD_STATS
Dopodichè inizia il flusso di PING/PONG tra server e client a mo di keepalive via WS

Ecco, non mi sono messo a fare reverse engineering del protocollo, pensavo fosse chissa' cosa di binario, e invece, LOL

Chissa' cosa e' quel SERVER_HOST_AUTH piuttosto... 🤔

nanomad wireshark

Semplicemente Wireshark si aspetta che sulla 8080 ci sia HTTP e non HTTPS 😅 ma l'OoklaServer accetta entrambi i protocolli sulla 8080... E forse anche un terzo protocollo proprietario delle app (che i browser moderni senza flash e senza java NON possono usare).

aternopae

LATIITAY Semplicemente Wireshark si aspetta che sulla 8080 ci sia HTTP e non HTTPS

No, Wireshark non si aspetta proprio un bel niente ed è per questo che è uno strumento prezioso a livello professionale: si tratta di un tool che è in grado di fare un'inspection approfondita di ogni singolo pacchetto e si usa proprio per fare troubleshooting complessi in apparati di rete perché è in grado di rilevare la tipologia di traffico in base al traffico stesso e non solo guardando alle porte TCP.

Conosce praticamente tutti i protocolli noti, anche esotici.

Nela schermata che vedi si può anche vedere che è capace di scomporre i singoli pacchetti di traffico a più livelli dividendo il frame ethernet, il quale contiene un frame IPv4, il quale a sua volta contiene un frame TCP che a sua volta contiene un frame HTTP malformato.

Ti consente poi di esplodere i singoli valori di pacchetto in una struttura gerarchica (anch'essa visibile nello screenshot) e facile da percorrere. Infine se passi col mouse su uno dei campi te lo evidenzia in blu e lo mette in relazione con il dump esadecimale che sta in basso nella schermata (non visibile nello screenshot).

Se fosse HTTPS nella sessione sarebbero visibili i pacchetti SSL/TLS in principio di sessione con lo scambio certificati ben in evidenza, mentre la sessione HTTP intunnellata dentro il tunnel SSL/TLS sarebbe invisibile in quanto cifrata.

Nel test che ho fatto e di cui lo screenshot è allegato sopra HTTPS non era da nessuna parte, si vede anzi la connessione TCP andare su alla porta 8080 e poi immediatamente dopo un ACK parte un "Malformed http" che probabilmente è quel qualcosa che "inganna" il motore del browser per aggirare limiti vari.

Come vedi dallo screenshot il pacchetto viene riconosciuto da Wireshark perché la prima metà è conforme all'HTTP (vedi parte evidenziata in giallo) e corrisponde ad un header HTTP correttamente formato ma poi prosegue con cose strane sue (parte evidenziata in rosso) che è la "lingua Ookla" che l'applet parla con la servlet.

Come regola generale in networking la porta TCP a cui ci si collega è un dato di marginale rilievo: un server HTTP tipicamente ascolta alla 80/TCP ma nessuno ti vieta di metterlo alla 81 o 150 o 15000, un server HTTPS tipicamente ascolta alla 443/TCP ma non significa niente. Anche la 8080/TCP è tipicamente usata per i proxy, ma ci sono proxy alla 9000, 9001 o saiilciufolodove in base a quanto hanno fumato male i sysadmin quel giorno ecc. perché non c'è nessun obbligo a riguardo, solo raccomandazioni.

nanomad

aternopae Wireshark da fuori di matto quando inizi a catturare moli di dati significative "live". Rifai il test con i dev tools del browser aperti e vedrai quello che ho visto anche io. Oppure fai un pcap e poi carica quello su wireshark

LATIITAY

aternopae Conosce praticamente tutti i protocolli noti, anche esotici.

Certo li implementa, ma per alcune porte "note" come proprio la 8080 va con i default, e il default per la 8080 e', beh, HTTP. Fammi 'sto favore ti prego, dissezionalo come HTTPS o SSL/TLS e posta uno screen. 🙂

nanomad ma basta il pcap che gia' ha, deve solo cambiare dissezionatore del flusso col tasto destro...

simonebortolin

aternopae Come vedi dallo screenshot il pacchetto viene riconosciuto da Wireshark perché la prima metà è conforme all'HTTP (vedi parte evidenziata in giallo) e corrisponde ad un header HTTP correttamente formato ma poi prosegue con cose strane sue (parte evidenziata in rosso) che è la "lingua Ookla" che l'applet parla con la servlet.

Non è assolutamente vero, il pacchetto inizia con il carattere tilde, poi c'è \032, poi c'è {, questo non è un header HTTP correttamente formattato, e l'http lo ha trovato solamente per la porta 8080

LucaTheHacker

aternopae Wireshark non si aspetta proprio un bel niente ed è per questo che è uno strumento prezioso a livello professionale: si tratta di un tool che è in grado di fare un'inspection approfondita di ogni singolo pacchetto e si usa proprio per fare troubleshooting complessi in apparati di rete perché è in grado di rilevare la tipologia di traffico in base al traffico stesso e non solo guardando alle porte TCP.

About the same way your system is recognizing which process to send the received packets to. First of wireshark read the link layer type from the interface it is capturing from. It then knows which protocol to use for the dissection of the first octets in the packet. Let's assume ethernet. Wireshark will dissect the destination and source mac address and then it will read the ethertype field (assuming it is a Ethernet-II frame, which is the most common).

The ethertype will point to the protocol that was carried in the ethernet frame. Examples are 0x0806 for ARP or 0x0800 for IP. So assuming IP, wireshark will call the IP dissector passing along the payload from the ethernet frame. The IP dissector will dissect all the IP headers and will look at the "protocol" field to determine which dissector to pass the payload to. Examples are 1 for ICMP, 6 for TCP and 17 for UDP.

Assuming UDP, the UDP dissector will dissect the UDP header and will look at the ports to determine which dissector it will send the payload to. Since there are two ports, wireshark has some rules to determine which port to follow. It will try to map a packet to a conversation. If a packet does not belong to a conversation, the destination port will be examined first as the biggest chance is that it is a request and then the destination port is linked to the protocol in use (yes, UDP and TCP dissectors will register themselves to port numbers).

Sometimes dynamic dissecting is done by examining packets which will hint that a new session will arrive. Like the FTP PORT command will indicate that a new TCP session will be created which should be treated as FTP-DATA. So wireshark then adds a conversation with the ports from the port command to make sure the session will be interpreted as ftp-data.

There are also hearistic dissectors. They will examine the payload of the packet to determine if the data matches its protocol specification, if so, it will dissect the packet. If not, it will tell Wireshark to try another dissector.

So, wireshark uses a collection of mechanisms to determine which protocol it should use to dissect the data.

LucaTheHacker

nanomad When hw acceleration for ws?

aternopae

nanomad non faccio quasi mai un cap live da wireshark, mi metto su un routerboard da cui passa il traffico e poi apro il capture scaricato col wireshark proprio per questo motivo.

Comunque per curiosità ho testato la app desktop di Ookla e fa una cosa un po' diversa: vedo anche dei pacchetti UDP verso la 8080/UDP quasi a fare un discovery (o forse valuta la latenza prima di fare la banda). Ho sempre usato Eolo per avere raffronto, e mi ritrovo il medesimo IP di prima ovvero 88.149.202.248

Mi ritrovo anche questa falsa sessione http. Poi però la connessione viene chiusa e riaperta più volte: mi ritrovo [FIN] [FIN ACK] più volte e poi ricomincia, difficile dire se sia previsto o se il complesso firewall che ho qui faccia del casino, ritenterò da casa con una rete più semplice appena mi ricordo di farlo.

aternopae

LATIITAY dissezionalo come HTTPS o SSL/TLS e posta uno screen

Se va su una connessione HTTPS la prima cosa che vedo negoziare dentro quello stream TCP è un tunnel SSL/TLS, quindi se così fosse come fai a dissezionare la sessione HTTP dentro che è cifrata?

In una simile fattispecie, dentro lo stream TCP, l'ultimo pacchetto non cifrato che vedi è il Server Hello dopo il Client Hello.
Di contro, mancando Server Hello e Client Hello nei pacchetti precedenti della stessa sessione manca la sessione SSL/TLS ancor prima che quella HTTP. Invece io vedo (Wireshark) un header HTTP in chiaro, parzialmente corretto e parzialmente malformato.

Come spieghi che se sniffo una sessione https la disseziona correttamente da solo?

LucaTheHacker

aternopae Mi ritrovo anche questa falsa sessione http. Poi però la connessione viene chiusa e riaperta più volte: mi ritrovo [FIN] [FIN ACK] più volte e poi ricomincia, difficile dire se sia previsto o se il complesso firewall che ho qui faccia del casino, ritenterò da casa con una rete più semplice appena mi ricordo di farlo.

No, è semplicemente Ookla che controlla quanto può provare a tirare sulla tua rete.

I parametri di base sono testlength="10" initialtest="250K" mintestsize="250K" threadsperurl="4" per URL diretta e
testlength="15" initialthreads="4" minthreads="4" maxthreads="32" threadratio="750K" maxsamplesize="5000000" minsamplesize="32000" startsamplesize="1000000" startbuffersize="1" bufferlength="5000" packetlength="1000" readbuffer="65536" su socket.

Il client parte da poco e poi prova a tirare fino al massimo per tirarti fuori la vera velocità massima, le connessioni che vedi aprire e morire sono quelle "iniziali" che crepano poco dopo la loro apertura in quanto il payload è minimo.

nanomad

aternopae Cmq hai tatticamente ignorato il mio post sopra. Ti ho raccontato come funziona il protocollo web di speedtest.

LATIITAY

aternopae aternopae

Mi dissezioni il flusso TCP sulla 8080 del browser (non dell'app) come TLS, e posti uno screen, per cortesia?

aternopae Invece io vedo (Wireshark) un header HTTP in chiaro, parzialmente corretto e parzialmente malformato.

Ma dove??????????????????????????????????????????????????????????????????

aternopae Come spieghi che se sniffo una sessione https la disseziona correttamente da solo?

Perche' la porta e' 443, oppure se la porta non e' nota (8080 lo e') allora entra in gioco l'euristica, e TLS e' facile da identificare. Come dice anche qui https://osqa-ask.wireshark.org/questions/21257/how-does-wireshark-determine-the-protocol/ :

LucaTheHacker the destination port will be examined first as the biggest chance is that it is a request and then the destination port is linked to the protocol in use (yes, UDP and TCP dissectors will register themselves to port numbers).

se la porta e' nota SI FERMA LI' senza provare con l'euristica. Non so piu' come dirlo...

aternopae Comunque per curiosità ho testato la app desktop di Ookla e fa una cosa un po' diversa: vedo anche dei pacchetti UDP verso la 8080/UDP

Le app native possono fare tutto, quindi anche usare UDP grezzo. Il browser no, solo HTTPS, WSS ed eventualmente WebRTC per UDP, ma niente piu' protocolli grezzi.

handymenny

aternopae vedo anche dei pacchetti UDP verso la 8080/UDP

quelli vengono utilizzati per misurare il packet loss, cosa che la versione web non fa

aternopae

nanomad Cmq hai tatticamente ignorato il mio post sopra. Ti ho raccontato come funziona il protocollo web di speedtest.

😜 scusa ma sto lavorando ad un antipatico lavoro di scansione di una rete di un cliente molto grosso che mi sta bruciando quei pochi neuroni superstiti, me l'ero perso perché ogni tanto faccio anche finta di lavorare ... o forse ho perso la capacità di interpretare il traffico e non me ne sono reso conto per sopraggiunta demenza senile 🤣

Anche io avevo visto in giro per il web uno studio che riportava quello che dici sopra, però dallo sniff che ho fatto ho polso di qualcosa di molto più semplice di così. Come dicevo non sono uno sviluppatore quindi non so quali siano i limiti teorici del browser, ma da quel che vedo passare sembra che siano stati aggirati e che l'applet faccia qualcosa di molto più banale verso la servlet.

Poi può essere che dentro la sessione, in forma cifrata, passi quella roba lì. Ma posso escludere che si tratti di un SSL/TLS perché la sequenzialità dei pacchetti TCP è ordinalmente corretta e mancano il Client Hello e il Server Hello.

Troveresti strano se esistesse una modalità "semplificata" dove l'applet cifra il traffico a modo suo, senza scomodare cifrature potentissime e senza scomodare certificati, giusto per evitare che $pigsanddogs lo retroingegnerizzino?

nanomad

aternopae Perchè c'è un mapping statico sulla 8080....forza TLS e vedrai...

aternopae

LATIITAY se la porta e' nota SI FERMA LI' senza provare con l'euristica. Non so piu' come dirlo...

trovo strana questa affermazione in quanto lo uso da quando si chiamava ancora ethereal e mi sembra che l'inspection formale del protocollo prevalga sulle banali porte, sennò non si spiega come mai se faccio una sessione HTTPS sulla porta 12800/TCP la trova lostesso (non è un numero a caso, mi è capitato di fare un'analisi specifica) ... anche perché la sessione SSL/TLS è generica, puoi usarla per intunnellare dentro migliaia di cose, HTTPS è solo un caso di specie.

Se se limitasse a dire che 8080 allora HTTP e non HTTPS ti ritroveresti nel paradosso che una sessione alla 8080 dove c'è dentro roba inattesa la disseziona sbagliata, mentre una roba fatta ad una porta X non standard la prende per forza perché è costretto a fare il controllo formale del pacchetto.

Non mi torna ... ma mi fido: proverò a rifare il capture, anzi, appena ce l'ho ve lo condivido se il forum lo consente.

nanomad

aternopae Leggi due post sopra, è HTTPS/WSS solo che non l'hai notato e ti sei fidato dei default di wireshark.

simonebortolin

aternopae Se fosse così facile ingannare SSL/TLS forse dovremmo dire addio all'home banking 😇

LATIITAY

aternopae Poi può essere che dentro la sessione, in forma cifrata, passi quella roba lì. Ma posso escludere che si tratti di un SSL/TLS perché la sequenzialità dei pacchetti TCP è ordinalmente corretta e mancano il Client Hello e il Server Hello.

Te lo scrivo ancora piu' grande: disseziona il flusso come TLS e poi ne riparliamo 🙂

Cioe' e' preoccupante che tu faccia proprio audit di rete per lavoro, e poi manco ti accorgi di un flusso TLS che ti passa cosi' in bella vista sotto al naso...

aternopae Troveresti strano se esistesse una modalità "semplificata" dove l'applet cifra il traffico a modo suo, senza scomodare cifrature potentissime e senza scomodare certificati, giusto per evitare che $pigsanddogs lo retroingegnerizzino?

aternopae applet [...] servlet

E infatti, non e' strano, e infatti come ripetuto piu' volte, le app DIVERSE dal browser fanno proprio questo.

Ma il browser no!

10 anni fa si', c'era un bell'swf di Macromedia Flash Player (o Shockwave Player?) che faceva proprio questo, implementare un protocollo proprietario grezzo. Oggi o passi da cio' che ti propone il browser, o non lo fai.

(E cmq se lasci i binari non strippati di certo il tuo obiettivo non e' evitare il reverse engineering... 😇)

nanomad

aternopae Se se limitasse a dire che 8080 allora HTTP e non HTTPS ti ritroveresti nel paradosso che una sessione alla 8080 dove c'è dentro roba inattesa la disseziona sbagliata, mentre una roba fatta ad una porta X non standard la prende per forza perché è costretto a fare il controllo formale del pacchetto.

Esatto.

LATIITAY

aternopae la porta 12800 non e' nota, non ha un dissezionatore attaccato, e quindi passa all'euristica. TLS e' facile da identificare e quindi ci azzecca subito.

aternopae Se se limitasse a dire che 8080 allora HTTP e non HTTPS ti ritroveresti nel paradosso che una sessione alla 8080 dove c'è dentro roba inattesa la disseziona sbagliata, mentre una roba fatta ad una porta X non standard la prende per forza perché è costretto a fare il controllo formale del pacchetto.

Non e' un paradosso, ma e' proprio cosi' che funziona 😅 qui lo spiega bene https://osqa-ask.wireshark.org/questions/21257/how-does-wireshark-determine-the-protocol/

aternopae Non mi torna ... ma mi fido: proverò a rifare il capture, anzi, appena ce l'ho ve lo condivido se il forum lo consente.

Ma fai bene a non fidarti se non ti torna eh: il problema e' che stavi ripetendo in continuazione le stesse cose senza provare prima a fare le cose che ti venivano dette al fine di farti dimostrare a te in maniera indipendente quello che ti veniva detto 😅

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile