Interprétez le tcpdump s'il vous plait

Résolu/Fermé
cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 - Modifié le 16 août 2017 à 22:16
brupala Messages postés 110713 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 27 décembre 2024 - 18 août 2017 à 10:27
Bonsoir,

Je possède un serveur de jeu et certaines personnes peuvent effectuer un ping vers le serveur mais pas y accéder. J'ai donc effectué un tcpdump pendant la tentative de connexion.

Donc les paquets du joueur vers le serveur:


Et les paquets du serveur vers le joueur:


Pouvez vous m'aider à interpréter cela afin que je puisse savoir à quel niveau ça bloque ?

Merci d'avance.

2 réponses

brupala Messages postés 110713 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 27 décembre 2024 13 877
Modifié le 16 août 2017 à 23:24
Salut,
pas facile à dire sans les adresses,
de chaque côté au niveau ports, on ne voit des paquets tcp que dans un seul sens.
ça ressemble assez à un parefeu mal configuré qui laisse passer le syn mais bloque au premier ack tcp

et ... Voili  Voilou  Voila !
0
cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
17 août 2017 à 00:06
Bonsoir,

J'ai préféré ne pas affiché publiquement l'adresse IP du joueur, surtout que je pense que je n'en ai pas le droit. Comme il y a plus de 60 connectés au serveur et qu'il se passe un peu de temps entre chaque paquet, tout était mélangé avec les autres joueurs, du coup dans whireshark j'ai trié par IP.

Pensez vous qu'il peut s'agir du par feu du joueur ? Il est certes sous Windows comme tous les autres mais bon, je ne sais pas ...

Concernant le serveur, il n'y a aucune règle iptable, à part
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p tcp --sport 1:65000 -j ACCEPT
que je lance au démarrage.

Oui je sais, il va falloir régler ça de façon beaucoup plus restrictive surtout sur les ports 3306 et 22.

Donc à priori ça ne peut pas être iptable qui bloque, surtout que personne d'autre n'a ce soucis.

En tout cas j'espère trouver la solution à ce problème vraiment très étrange.
0
brupala Messages postés 110713 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 27 décembre 2024 13 877
17 août 2017 à 10:14
Tu as dû un peu trop filtrer le tcpdump, en filtrant le couple source destination de chaque côté, du coup il manque des trames.
il faudrait que tu filtres juste l'adresse du serveur côté client et l'adresse du client côté serveur, on verrait plus d'échanges, mais il semble bien que c'est ce qui vient du serveur qui est bloqué côté client, à part peut-etre les syn
0
cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
17 août 2017 à 18:53
Bonsoir,

J'utilise:
tcpdump -n port not 22 and not arp -i eth0 -w dump.pcap -c 80000000

Malheureusement je ne connais pas la commande permettant d'avoir davantage d'informations.

J'ai lancé 2 commandes depuis le serveur, vers l'IP du joueur:
https://www.cjoint.com/c/GHrqYaMwzfy
https://www.cjoint.com/c/GHrqYI6zVRy

Les ping passent toujours sans problème, et à ma connaissance aucun autre joueur n'a ce problème, donc ça m'intrigue vraiment.

Par hasard j'ai aussi regardé du côté d'Iptable mais aucune IP n'est bloquée et aucune règle est en place à part celle qui ouvre les ports.

En tout cas j'ai aussi l'impression que le blocage se fait au niveau du FAI ou de la box ou du PC du joueur.
0
brupala Messages postés 110713 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 27 décembre 2024 13 877 > cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024
Modifié le 18 août 2017 à 01:29
C'est parce que tu as parlé de wireshark, qui permet de filtrer le traffic dans un seul sens ou dans les deux.
Dans wireshark, il faudrait que tu choisisses A<>B au lieu de A>B ou A<B
Tu parles du FAI du client, on ne le connait pas, (en fait, si, dans ton mtr c'est Free en non dégroupé, à cause du lns-bzn ou Alice et ton serveur c'est ovh)
il vaut mieux tabler sur un parefeu côté client.
0
cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
18 août 2017 à 01:18
Je fais comment pour n'afficher que l'IP du joueur et l'IP du serveur à gauche, et même chose à droite ? J'ai pas trouvé comment faire du coup j'ai trié par IP pour qu'on voit pas les paquets liés aux autres joueurs qui sont donc avant ou après, et du coup on a qu'une seule IP à gauche et l'autre à droite, puis après l'autre à gauche et l'autre à droite.

Je vais voir s'ils peuvent trouver une autre connexion chez un autre FAI pour tester, puis un autre PC en utilisant la connexion où ça ne fonctionne pas avec le premier PC, afin de voir si c'est lié au PC ou la box. Mais à priori c'est pas évident pour eux de trouver ça.

Je pense non plus que le par feu windows bloque, avec plus de 200 joueur uniques en 48 heures je pense que tous les OS sont passés et qu'il n'y a pas de rapport avec ça.

Je vais leur parler de leur antivirus et voir s'ils n'ont pas un logiciel de "protection" supplémentaire, certains ont installé des trucs ... mais on se demande comment ils jouent sans avoir un ping de 500ms.

En tout cas je vous remercie de vos réponses, cela me rassure que ça ne vient pas forcément du serveur ou d'OVH. A propos d'OVH ils m'ont dit de faire

Depuis le serveur :

ping ipclient
mtr -r ipclient


Depuis le poste client :

ping IPServeur
mtr -r IPServeur ou utiliser winmtr pour windows

Mais il y a absolument tout qui passe sans problème.
0
brupala Messages postés 110713 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 27 décembre 2024 13 877 > cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024
18 août 2017 à 02:02
dans wireshark ?
tu choisis statistiques/conversations
là tu choisis la conversation que tu veux onglet ipv4 ou tcp, clic droit dessus et tu choisis de filtrer avec A<>B
ou seulement l'adresse ip du client sous la forme:
ip.addr==82.249.250.x dans la zone du filtre
0
cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145 > brupala Messages postés 110713 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 27 décembre 2024
18 août 2017 à 09:42
Bonjour,

https://www.cjoint.com/doc/17_08/GHshOgFiHiq_Screenshot-1.png

82.X étant son IP à lui, effectivement le premier blocage s'effectue à son niveau et ensuite les tentatives de retransmission commencent ... et donc vous aviez raison.

Je vous remercie beaucoup pour votre aide, je ne connaissais pas du tout le tris sous wireshark.

Bonne journée
0