информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеВсе любят медАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Присоединяюсь. Сам работаю у небольшого провайдера и могу... 08.01.04 11:16  Число просмотров: 2565
Автор: VEK Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Провайдеру есть чем заняться, чем смотреть на твой трафик.
> Так что никто тебя отключать не будет.
Присоединяюсь. Сам работаю у небольшого провайдера и могу сказать, что за всеми клиентами не уследишь (представляете объемы логов). У нас тоже клиенты по ARP привязаны, но это чтобы не могли под чужими IP работать. Единственное что отслеживается это трафик клиентов по MRTG на предмет необычности. Скажем, исходящий трафик стал больше входящего. Тогда уже можно и логи посмотреть, не скофигурил ли клиент у себя open-relay :)
Правда, у нас нет такого условия, чтобы ограничить клиента 1 компьютером, и если надо даются дополнительно реальные IP, а про то, что клиент поставил NAT и вопросов никаких нет. Это его личное дело. Например, у нас подключен завод с одним IP + NAT, трафик в день ~1 Gb и все довольны, потому что провайдер получает деньги с клиентов за трафик.
<networking>
NAT и злобный провайдер 06.01.04 12:40  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Дома я подключён к злобному провайдеру. Авторизация производится по MAC-адресу. Хочу замутить инет на второй компьютер, не платя ещё 100 грина за проведение воторого провода. Для этого намереваюсь в один компьютер с Win2K вставить две сетевухи, включить "Общий доступ в интернет". Таким образом для второго компьютера будет осуществляться обычный NAT.
Но, у провайдера есть пункт в договоре, что подключение предоставляется только для одного компьютера, и запрещается подключать другие компьютеры. За нарушение могут легко отключить.
И вот вопрос. Могут ли они как-то узнать, про то что я используя НАТ вывожу в инет второй компьютер? Если могут, то как, и как этого избежать? Ну, то что может показаться подозрительным, что человек одновременно играет в Кваку, активно чатится и сидит на паре форумов, я в расчёт не беру. Вряд ли они так детально анализируют трафик.
В общем, можно расслабиться. 12.01.04 14:40  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Провайдер разрешил мне НАТ.
Злобный провайдер, однозначно :) 12.01.04 14:44  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
Уж не "Корвет" ли? 08.01.04 21:22  
Автор: Kuzmich Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Дома я подключён к злобному провайдеру.
Уж не "Корвет" ли?

Сдается мне, что тариф у тебя из серии "Анлим" - тогда совершенно понятно, что прову не понравится, если ты его будешь раскидывать на несколько рабочих мест.

> И вот вопрос. Могут ли они как-то узнать, про то что я
> используя НАТ вывожу в инет второй компьютер? Если могут,
> то как, и как этого избежать?

Самый простой способ определения наличия NAT - по "нестандартному" значению поля TTL в исходящих от тебя пакетах. Например (точных цифр не помню) для Windows 2000 характерен TTL 128, а от тебя идут пакеты с TTL 127 (т.к. побывали в одном маршрутизаторе). Если провайдер дает "анлим", то он периодически должен слушать трафик на предмет выявления таких пакетов.

Способ обмана: на "второй" машине выставляешь TTL на единичку больше, или ищешь NAT, который не трогает TTL.

Второй способ определения некоторых NAT'ов - номера обратных портов. Winroute (по крайней мере, 4 версия) NAT'ит через порты 6ХХХХ. Если весть твой трафик исходит с таких портов - это повод призадуматься.

Лечение: искать NAT, пытающийся подставлять "родной" порт.


> Ну, то что может показаться
> подозрительным, что человек одновременно играет в Кваку,
> активно чатится и сидит на паре форумов, я в расчёт не
> беру. Вряд ли они так детально анализируют трафик.

Сами они таким, конечно, не занимаются... однако некоторые биллинговые системы в качестве опции могут показывать и типы трафика. Смотри, какой биллинг у твоего прова, и ищи по нему инфу.

Один из стандартных вариантов слежения за анлимщиками - учет количества одновременно открытых сессий. Обычно 10 сессий не является ограничением для одного юзера, но двое периодически на эту граблю наступают... конечно, всегда можно отговориться, что пока ты гамишься, у тебя GetRight чего-то качает, или Offline Explorer сайты на винт выкачивает... но это, сам понимаешь, "дешевые отмазки".

Еще один, универсальный в данном случае, отмазчик - авторизация по MAC :) Всегда можешь сказать, что кто-то другой под твоим маком за твои деньги в интернет лазает, да еще накричать на провайдера, что от полный №;;%, что до сих пор юзает MAC-авторизацию :)

И последний вариант - ставишь на "шлюзовую" машину две винды параллельно, в одну ставишь NAT, в другую - обычный firewall (желательно от того-же производителя). Если к тебе в дверь звонят и спрашивают - "А нет ли у вас НАТ'а?" - честно показываешь винды с обычным файрволом. Второй комп - "да, есть, ну и что? я же с него в интернет не лазаю, ибо не через что. Это вообще вчера приятель заходил со своим компом, принес 100 гигов порнухи. А комп оставил, потому что выпил, и уехал на метро, а не на машине... да вон она стоит под окном, тойота беленькая...".

P.S. Только нечестно это всё... лучше мирным путем всё решить, однако...
Спасибо & 2All 09.01.04 15:39  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> > Дома я подключён к злобному провайдеру.
> Уж не "Корвет" ли?
нет, не Корвет.

> Сдается мне, что тариф у тебя из серии "Анлим" - тогда
> совершенно понятно, что прову не понравится, если ты его
> будешь раскидывать на несколько рабочих мест.
Нет, тариф помегабайтный.

Насчёт методов обнаружения: мне и в голову не приходило, что Windows меняет порты и TTL.
2All: кто-нибудь может это подтвердить или опровергнуть?

> Сами они таким, конечно, не занимаются... однако некоторые
> биллинговые системы в качестве опции могут показывать и
> типы трафика. Смотри, какой биллинг у твоего прова, и ищи
> по нему инфу.
Попробую.

Про отмазки: я ж говорю, вряд ли они будут разбираться, ставить следственные эксперименты и смотреть на мои файерволы. Захотят - и отключат.
Ну дык это ИМХО вполне логично 09.01.04 17:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Насчёт методов обнаружения: мне и в голову не приходило,
> что Windows меняет порты и TTL.
> 2All: кто-нибудь может это подтвердить или опровергнуть?
Я об этом не подумал сначала, но когда прочитал - даже не стал сомневаться. TTL - должно уменьшатся каждую секунду, но при прохождении через любые промежуточные хосты - тоже уменьшается на единицу (типа передача между хостами - явно занимает какое-то время, а так как TTL - целочисленное поле, то при округлении выходит именно уменьшение на 1).
А что NAT сам выбирает порты для нового соединения - так тоже логично (и вполне можно допустить, что некоторые NAT-серверы выбирают порты только из определенного диапазона)
Каждую секунду он должен был уменьшаться по изначальной спецификации, на которую уже давно никто не обращает внимания 10.01.04 06:35  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Ну, уменьшаться _должно_, наверное, при прохождениее через... 10.01.04 00:15  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Я об этом не подумал сначала, но когда прочитал - даже не
> стал сомневаться. TTL - должно уменьшатся каждую секунду,
> но при прохождении через любые промежуточные хосты - тоже
> уменьшается на единицу (типа передача между хостами - явно
> занимает какое-то время, а так как TTL - целочисленное
> поле, то при округлении выходит именно уменьшение на 1).
Ну, уменьшатьсядолжно наверное, при прохождениее через маршрутизатор. А через НАТ - это ещё как сказать. Ну, и дело даже не в том, как должно. А в том, как работает в Виндоус. Видимо, если никто не приведёт практических результатов придётся проверить самому.
НАТ врядли уменьшает TTL 10.01.04 00:54  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
Опасность с палевом из-за TTL может возникнуть, опять же, если будут исходить пакеты сразнымиTTL (например, в том случае, если будут за НАТом компы с разными операцинками)
TTL уменьшается не только маршрутизаторами 10.01.04 06:50  
Автор: dl <Dmitry Leonov>
Отредактировано 10.01.04 06:54  Количество правок: 1
<"чистая" ссылка>
Но и любыми узлами, через которые проходит пакет, в частности, шлюзом, в который превращается машина (с встроенным "Общим доступом" руку на отсечение не дам, поскольку никогда его живьем не использовал, с WinRoute по умолчанию все именно так, хотя есть шанс, что это конфигурится). Собственно, для проверки достаточно кинуть tracert с этой машины и с той, которая стоит за NAT, и сравнить число хопов.
О-о-о 12.01.04 13:54  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 12.01.04 13:56  Количество правок: 1
<"чистая" ссылка>
> tracert с этой машины и с той, которая стоит за NAT, и
> сравнить число хопов.
tracert. Вспоминая принцип действия (TTL ставится таким, чтобы пакет умер через заданное число хопов), могу с уверенностью сказать, что все NAT-ы, которые я видел, уменьшают TTL, т.к. в трассировке эти узлы видны

ЗЫ: Я понимаю, что это можно выключить, но просто никто не занимался этим, так как не было острой необходимости
не факт ;0) 09.01.04 19:29  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
не факт ;0)
во Фре например есть такая мулька как net.inet.ip.stealth
ставишь в 1 и ни-фи-га он ТТЛ не уменьшает :0))

> Я об этом не подумал сначала, но когда прочитал - даже не
> стал сомневаться. TTL - должно уменьшатся каждую секунду,
> но при прохождении через любые промежуточные хосты - тоже
> уменьшается на единицу (типа передача между хостами - явно
> занимает какое-то время, а так как TTL - целочисленное
> поле, то при округлении выходит именно уменьшение на 1).

ну это как ты ему скажешь ;0)) всё на этом свете конфигурится как надо кроме винды
> А что NAT сам выбирает порты для нового соединения - так
> тоже логично (и вполне можно допустить, что некоторые
> NAT-серверы выбирают порты только из определенного
> диапазона)
не факт ;0) 09.01.04 21:10  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> ну это как ты ему скажешь ;0)) всё на этом свете
> конфигурится как надо кроме винды
Вроде Kerio WinRoute Firewall (NAT, DHCP, Proxy, Firewall, Router in one) для винды тоже так умеет.
Вот еще че подумалось 08.01.04 16:13  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> Дома я подключён к злобному провайдеру. Авторизация
> производится по MAC-адресу. Хочу замутить инет на второй
> компьютер, не платя ещё 100 грина за проведение воторого
> провода.

Зачем второй провод? Ты воткнешь ихний провод в свой свич и два провода со своих компов. Провайдер просто назначит второму компу IP и привяжет к MAC-у. Возможно это у них бесплатно или очень дешево...
ответ всем 08.01.04 16:28  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Зачем второй провод? Ты воткнешь ихний провод в свой свич и
> два провода со своих компов. Провайдер просто назначит
> второму компу IP и привяжет к MAC-у. Возможно это у них
> бесплатно или очень дешево...
Да, они предлагают вариант со вторым IP-адресом. Это стоит денег и разово и, потом, ежемесячно. Мне гораздо дешевле сделать НАТ.

Можно резюмировать, что никаких средств обнаружить НАТ, кроме анализа траффика на его смысл, нет. Отлично, я так и думал.
Насчёт того, будет ли им лень это делать - мы узнаем чуть позже :) Тем более, что прецеденты отключения именно за подключения дополнительных компьютеров уже есть. Пока никак не могу найти людей, которые на этом попались.

Да, действительно собираюсь приехать к ним в офис и поговорить.
Re: NAT и злобный провайдер 08.01.04 11:20  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Порассуждаем...
Скажем у меня дома стоит один комп и я хочу защититься от всяких сетевых червей и возможного взлома, то имею полное право поставить firewall. А если я хочу поставить firewall на отдельную машину или вообще хардовый firewall с NAT'ом, то получается, что не имею на это право по договору. Обсурд! Имею полное право!!!
Не, можно, конечно же, закосить под самго умного и говорить,... 08.01.04 13:16  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> Порассуждаем...
> Скажем у меня дома стоит один комп и я хочу защититься от
> всяких сетевых червей и возможного взлома, то имею полное
> право поставить firewall. А если я хочу поставить firewall
> на отдельную машину или вообще хардовый firewall с NAT'ом,

Не, можно, конечно же, закосить под самго умного и говорить, что я всего-лишь поставил хардовый файерволл и сижу тут тихо спокойно никого не трогаю... Но всё равно, если дойдёт дело до анализа трафика, то, как говорится, "весна покажет кто где срал" ;). Думаю, у прова тоже не дуркаки сидят.

> то получается, что не имею на это право по договору.
> Обсурд! Имею полное право!!!

Думаю, что в этом случае пров-монополист скажет что-то вроде: "Не нравится - живи на марсе" =)

П.С. правда, всё вышесказанное сильно зависит от прова. У меня есть несколько знакомых, которые дома поставили на отдельной машине шлюз и подключили через НАТ несколько своих домашних компов в сеть. Но в их случае пров не против этого.
П.П.С. тут, кстати, где-то по этому поводу $пикер уже высказывался.
Насчет живи на Марсе... 08.01.04 14:00  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> > то получается, что не имею на это право по договору.
> > Обсурд! Имею полное право!!!
>
> Думаю, что в этом случае пров-монополист скажет что-то
> вроде: "Не нравится - живи на марсе" =)

Не забывай - пров, по большому счету, ведь тоже не хочет клиентов терять. Конкуренция-то все таки существует: диал-ап, ADSL, может RadioEthernet от другого прова, интернет кафе наконец,... Шаман платит своему прову реальные бабки. При этом пров не очень напрягается обслуживая его. И все понимают, что просто так отказываться от денег они не будут.

Более того, можно попытаться "прыгнуть через голову" - т.е. поговорить с теми, чей трафик этот пров перепродает... спросить правочно ли будет отключение в данном случае ну т.д.

ИМХО, надо больше инфы набрать.
В тупую... 07.01.04 19:13  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Возьми да спроси их. Ну не называйся кто ты... Может в договоре это прописано просто, чтобы ты не перебивал у них клиентов... скорее всего это так и есть.

Я лично всегда так делаю - прикинься идиотом, да поспрашивай все...
ИМХО 06.01.04 15:45  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Провайдеру есть чем заняться, чем смотреть на твой трафик. Так что никто тебя отключать не будет.
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach