Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | |
О-о-о 12.01.04 13:54 Число просмотров: 2675
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 12.01.04 13:56 Количество правок: 1
|
> tracert с этой машины и с той, которая стоит за NAT, и
> сравнить число хопов.
tracert. Вспоминая принцип действия (TTL ставится таким, чтобы пакет умер через заданное число хопов), могу с уверенностью сказать, что все NAT-ы, которые я видел, уменьшают TTL, т.к. в трассировке эти узлы видны
ЗЫ: Я понимаю, что это можно выключить, но просто никто не занимался этим, так как не было острой необходимости
|
|
<networking>
|
NAT и злобный провайдер 06.01.04 12:40
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Дома я подключён к злобному провайдеру. Авторизация производится по MAC-адресу. Хочу замутить инет на второй компьютер, не платя ещё 100 грина за проведение воторого провода. Для этого намереваюсь в один компьютер с Win2K вставить две сетевухи, включить "Общий доступ в интернет". Таким образом для второго компьютера будет осуществляться обычный NAT.
Но, у провайдера есть пункт в договоре, что подключение предоставляется только для одного компьютера, и запрещается подключать другие компьютеры. За нарушение могут легко отключить.
И вот вопрос. Могут ли они как-то узнать, про то что я используя НАТ вывожу в инет второй компьютер? Если могут, то как, и как этого избежать? Ну, то что может показаться подозрительным, что человек одновременно играет в Кваку, активно чатится и сидит на паре форумов, я в расчёт не беру. Вряд ли они так детально анализируют трафик.
|
|
В общем, можно расслабиться. 12.01.04 14:40
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Провайдер разрешил мне НАТ.
|
| |
Злобный провайдер, однозначно :) 12.01.04 14:44
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
|
|
|
Уж не "Корвет" ли?
08.01.04 21:22
Автор: Kuzmich Статус: Незарегистрированный пользователь
|
> Дома я подключён к злобному провайдеру.
Уж не "Корвет" ли?
Сдается мне, что тариф у тебя из серии "Анлим" - тогда совершенно понятно, что прову не понравится, если ты его будешь раскидывать на несколько рабочих мест.
> И вот вопрос. Могут ли они как-то узнать, про то что я
> используя НАТ вывожу в инет второй компьютер? Если могут,
> то как, и как этого избежать?
Самый простой способ определения наличия NAT - по "нестандартному" значению поля TTL в исходящих от тебя пакетах. Например (точных цифр не помню) для Windows 2000 характерен TTL 128, а от тебя идут пакеты с TTL 127 (т.к. побывали в одном маршрутизаторе). Если провайдер дает "анлим", то он периодически должен слушать трафик на предмет выявления таких пакетов.
Способ обмана: на "второй" машине выставляешь TTL на единичку больше, или ищешь NAT, который не трогает TTL.
Второй способ определения некоторых NAT'ов - номера обратных портов. Winroute (по крайней мере, 4 версия) NAT'ит через порты 6ХХХХ. Если весть твой трафик исходит с таких портов - это повод призадуматься.
Лечение: искать NAT, пытающийся подставлять "родной" порт.
> Ну, то что может показаться
> подозрительным, что человек одновременно играет в Кваку,
> активно чатится и сидит на паре форумов, я в расчёт не
> беру. Вряд ли они так детально анализируют трафик.
Сами они таким, конечно, не занимаются... однако некоторые биллинговые системы в качестве опции могут показывать и типы трафика. Смотри, какой биллинг у твоего прова, и ищи по нему инфу.
Один из стандартных вариантов слежения за анлимщиками - учет количества одновременно открытых сессий. Обычно 10 сессий не является ограничением для одного юзера, но двое периодически на эту граблю наступают... конечно, всегда можно отговориться, что пока ты гамишься, у тебя GetRight чего-то качает, или Offline Explorer сайты на винт выкачивает... но это, сам понимаешь, "дешевые отмазки".
Еще один, универсальный в данном случае, отмазчик - авторизация по MAC :) Всегда можешь сказать, что кто-то другой под твоим маком за твои деньги в интернет лазает, да еще накричать на провайдера, что от полный №;;%, что до сих пор юзает MAC-авторизацию :)
И последний вариант - ставишь на "шлюзовую" машину две винды параллельно, в одну ставишь NAT, в другую - обычный firewall (желательно от того-же производителя). Если к тебе в дверь звонят и спрашивают - "А нет ли у вас НАТ'а?" - честно показываешь винды с обычным файрволом. Второй комп - "да, есть, ну и что? я же с него в интернет не лазаю, ибо не через что. Это вообще вчера приятель заходил со своим компом, принес 100 гигов порнухи. А комп оставил, потому что выпил, и уехал на метро, а не на машине... да вон она стоит под окном, тойота беленькая...".
P.S. Только нечестно это всё... лучше мирным путем всё решить, однако...
|
| |
Спасибо & 2All 09.01.04 15:39
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> > Дома я подключён к злобному провайдеру.
> Уж не "Корвет" ли?
нет, не Корвет.
> Сдается мне, что тариф у тебя из серии "Анлим" - тогда
> совершенно понятно, что прову не понравится, если ты его
> будешь раскидывать на несколько рабочих мест.
Нет, тариф помегабайтный.
Насчёт методов обнаружения: мне и в голову не приходило, что Windows меняет порты и TTL.
2All: кто-нибудь может это подтвердить или опровергнуть?
> Сами они таким, конечно, не занимаются... однако некоторые
> биллинговые системы в качестве опции могут показывать и
> типы трафика. Смотри, какой биллинг у твоего прова, и ищи
> по нему инфу.
Попробую.
Про отмазки: я ж говорю, вряд ли они будут разбираться, ставить следственные эксперименты и смотреть на мои файерволы. Захотят - и отключат.
|
| | |
Ну дык это ИМХО вполне логично 09.01.04 17:02
Автор: amirul <Serge> Статус: The Elderman
|
> Насчёт методов обнаружения: мне и в голову не приходило,
> что Windows меняет порты и TTL.
> 2All: кто-нибудь может это подтвердить или опровергнуть?
Я об этом не подумал сначала, но когда прочитал - даже не стал сомневаться. TTL - должно уменьшатся каждую секунду, но при прохождении через любые промежуточные хосты - тоже уменьшается на единицу (типа передача между хостами - явно занимает какое-то время, а так как TTL - целочисленное поле, то при округлении выходит именно уменьшение на 1).
А что NAT сам выбирает порты для нового соединения - так тоже логично (и вполне можно допустить, что некоторые NAT-серверы выбирают порты только из определенного диапазона)
|
| | | |
Каждую секунду он должен был уменьшаться по изначальной спецификации, на которую уже давно никто не обращает внимания 10.01.04 06:35
Автор: dl <Dmitry Leonov>
|
|
|
| | | |
Ну, уменьшаться _должно_, наверное, при прохождениее через... 10.01.04 00:15
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Я об этом не подумал сначала, но когда прочитал - даже не
> стал сомневаться. TTL - должно уменьшатся каждую секунду,
> но при прохождении через любые промежуточные хосты - тоже
> уменьшается на единицу (типа передача между хостами - явно
> занимает какое-то время, а так как TTL - целочисленное
> поле, то при округлении выходит именно уменьшение на 1).
Ну, уменьшатьсядолжно наверное, при прохождениее через маршрутизатор. А через НАТ - это ещё как сказать. Ну, и дело даже не в том, как должно. А в том, как работает в Виндоус. Видимо, если никто не приведёт практических результатов придётся проверить самому.
|
| | | | |
НАТ врядли уменьшает TTL 10.01.04 00:54
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
|
Опасность с палевом из-за TTL может возникнуть, опять же, если будут исходить пакеты сразнымиTTL (например, в том случае, если будут за НАТом компы с разными операцинками)
|
| | | | | |
TTL уменьшается не только маршрутизаторами 10.01.04 06:50
Автор: dl <Dmitry Leonov>
Отредактировано 10.01.04 06:54 Количество правок: 1
|
|
Но и любыми узлами, через которые проходит пакет, в частности, шлюзом, в который превращается машина (с встроенным "Общим доступом" руку на отсечение не дам, поскольку никогда его живьем не использовал, с WinRoute по умолчанию все именно так, хотя есть шанс, что это конфигурится). Собственно, для проверки достаточно кинуть tracert с этой машины и с той, которая стоит за NAT, и сравнить число хопов.
|
| | | | | | |
О-о-о 12.01.04 13:54
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 12.01.04 13:56 Количество правок: 1
|
> tracert с этой машины и с той, которая стоит за NAT, и
> сравнить число хопов.
tracert. Вспоминая принцип действия (TTL ставится таким, чтобы пакет умер через заданное число хопов), могу с уверенностью сказать, что все NAT-ы, которые я видел, уменьшают TTL, т.к. в трассировке эти узлы видны
ЗЫ: Я понимаю, что это можно выключить, но просто никто не занимался этим, так как не было острой необходимости
|
| | | |
не факт ;0)
09.01.04 19:29
Автор: RazDolBai Статус: Member
|
не факт ;0)
во Фре например есть такая мулька как net.inet.ip.stealth
ставишь в 1 и ни-фи-га он ТТЛ не уменьшает :0))
> Я об этом не подумал сначала, но когда прочитал - даже не
> стал сомневаться. TTL - должно уменьшатся каждую секунду,
> но при прохождении через любые промежуточные хосты - тоже
> уменьшается на единицу (типа передача между хостами - явно
> занимает какое-то время, а так как TTL - целочисленное
> поле, то при округлении выходит именно уменьшение на 1).
ну это как ты ему скажешь ;0)) всё на этом свете конфигурится как надо кроме винды
> А что NAT сам выбирает порты для нового соединения - так
> тоже логично (и вполне можно допустить, что некоторые
> NAT-серверы выбирают порты только из определенного
> диапазона)
|
| | | | |
не факт ;0) 09.01.04 21:10
Автор: Den <Denis> Статус: The Elderman
|
> ну это как ты ему скажешь ;0)) всё на этом свете
> конфигурится как надо кроме винды
Вроде Kerio WinRoute Firewall (NAT, DHCP, Proxy, Firewall, Router in one) для винды тоже так умеет.
|
|
Вот еще че подумалось 08.01.04 16:13
Автор: whiletrue <Роман> Статус: Elderman
|
> Дома я подключён к злобному провайдеру. Авторизация
> производится по MAC-адресу. Хочу замутить инет на второй
> компьютер, не платя ещё 100 грина за проведение воторого
> провода.
Зачем второй провод? Ты воткнешь ихний провод в свой свич и два провода со своих компов. Провайдер просто назначит второму компу IP и привяжет к MAC-у. Возможно это у них бесплатно или очень дешево...
|
| |
ответ всем 08.01.04 16:28
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Зачем второй провод? Ты воткнешь ихний провод в свой свич и
> два провода со своих компов. Провайдер просто назначит
> второму компу IP и привяжет к MAC-у. Возможно это у них
> бесплатно или очень дешево...
Да, они предлагают вариант со вторым IP-адресом. Это стоит денег и разово и, потом, ежемесячно. Мне гораздо дешевле сделать НАТ.
Можно резюмировать, что никаких средств обнаружить НАТ, кроме анализа траффика на его смысл, нет. Отлично, я так и думал.
Насчёт того, будет ли им лень это делать - мы узнаем чуть позже :) Тем более, что прецеденты отключения именно за подключения дополнительных компьютеров уже есть. Пока никак не могу найти людей, которые на этом попались.
Да, действительно собираюсь приехать к ним в офис и поговорить.
|
|
Re: NAT и злобный провайдер 08.01.04 11:20
Автор: Den <Denis> Статус: The Elderman
|
Порассуждаем...
Скажем у меня дома стоит один комп и я хочу защититься от всяких сетевых червей и возможного взлома, то имею полное право поставить firewall. А если я хочу поставить firewall на отдельную машину или вообще хардовый firewall с NAT'ом, то получается, что не имею на это право по договору. Обсурд! Имею полное право!!!
|
| |
Не, можно, конечно же, закосить под самго умного и говорить,... 08.01.04 13:16
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> Порассуждаем...
> Скажем у меня дома стоит один комп и я хочу защититься от
> всяких сетевых червей и возможного взлома, то имею полное
> право поставить firewall. А если я хочу поставить firewall
> на отдельную машину или вообще хардовый firewall с NAT'ом,
Не, можно, конечно же, закосить под самго умного и говорить, что я всего-лишь поставил хардовый файерволл и сижу тут тихо спокойно никого не трогаю... Но всё равно, если дойдёт дело до анализа трафика, то, как говорится, "весна покажет кто где срал" ;). Думаю, у прова тоже не дуркаки сидят.
> то получается, что не имею на это право по договору.
> Обсурд! Имею полное право!!!
Думаю, что в этом случае пров-монополист скажет что-то вроде: "Не нравится - живи на марсе" =)
П.С. правда, всё вышесказанное сильно зависит от прова. У меня есть несколько знакомых, которые дома поставили на отдельной машине шлюз и подключили через НАТ несколько своих домашних компов в сеть. Но в их случае пров не против этого.
П.П.С. тут, кстати, где-то по этому поводу $пикер уже высказывался.
|
| | |
Насчет живи на Марсе... 08.01.04 14:00
Автор: whiletrue <Роман> Статус: Elderman
|
> > то получается, что не имею на это право по договору.
> > Обсурд! Имею полное право!!!
>
> Думаю, что в этом случае пров-монополист скажет что-то
> вроде: "Не нравится - живи на марсе" =)
Не забывай - пров, по большому счету, ведь тоже не хочет клиентов терять. Конкуренция-то все таки существует: диал-ап, ADSL, может RadioEthernet от другого прова, интернет кафе наконец,... Шаман платит своему прову реальные бабки. При этом пров не очень напрягается обслуживая его. И все понимают, что просто так отказываться от денег они не будут.
Более того, можно попытаться "прыгнуть через голову" - т.е. поговорить с теми, чей трафик этот пров перепродает... спросить правочно ли будет отключение в данном случае ну т.д.
ИМХО, надо больше инфы набрать.
|
|
В тупую... 07.01.04 19:13
Автор: whiletrue <Роман> Статус: Elderman
|
Возьми да спроси их. Ну не называйся кто ты... Может в договоре это прописано просто, чтобы ты не перебивал у них клиентов... скорее всего это так и есть.
Я лично всегда так делаю - прикинься идиотом, да поспрашивай все...
|
|
ИМХО 06.01.04 15:45
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
Провайдеру есть чем заняться, чем смотреть на твой трафик. Так что никто тебя отключать не будет.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
