The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Выявление NAT-устройства в сети"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Выявление NAT-устройства в сети"  +/
Сообщение от auto_tips (??) on 25-Авг-10, 09:51 
Значения TTL в популярных ОС известны (http://www.binbert.com/blog/2009/12/default-time-to-live-ttl.../), например, в Linux 2.6.x и FreeBSD - 64, в Windows - 128.

Если в сети имеется маршрутизатор на базе *nix или если есть возможность завернуть трафик на определенный хост, или настроен PBR на прозрачный прокси - на этой машине нужно выполнить:

   # tcpdump -vv -n -i @interface@ 'ip[7:2] != 128 and ip[7:2] != 64'

Соответственно, если пакеты приходят с вашего маршрутизатора после PBR, значение TTL нужно уменьшить на 1.
Но эта информация неточная, так как TLL в ОС можно поменять.
Также полезным дополнением внутри этой команды будет 'src net @ваша внутренняя сеть@' и 'src net not @сеть, которую нужно исключить@'.


URL:
Обсуждается: https://www.opennet.ru/tips/info/2428.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Выявление NAT-устройства в сети"  +/
Сообщение от Дмитрий (??) on 25-Авг-10, 09:51 
PBR ват ис дас?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Выявление NAT-устройства в сети"  +/
Сообщение от Аноним (??) on 25-Авг-10, 10:01 
Policy base routing, не?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Выявление NAT-устройства в сети"  +/
Сообщение от Добрый Дохтур on 25-Авг-10, 10:04 
я видел патчик на ядро linux, который прикручивает "плавающий" ttl.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Выявление NAT-устройства в сети"  +/
Сообщение от Andrey Mitrofanov on 25-Авг-10, 11:59 
http://en.wikipedia.org/wiki/Policy-based_routing , да.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Выявление NAT-устройства в сети"  +/
Сообщение от reader (ok) on 25-Авг-10, 12:29 
iptables -t mangle -A POSTROUTING -o $EXT_IF -j TTL --ttl-set 64

правда повлияет на traceroute.

а можно
iptables -t mangle -A POSTROUTING -o $EXT_IF -j TTL --ttl-inc 1 :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Выявление NAT-устройства в сети"  +/
Сообщение от KdF (??) on 25-Авг-10, 18:06 
На TTL далеко не уедешь. Вот чем пользуются православные пацаны: http://lcamtuf.coredump.cx/p0f.shtml
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Выявление NAT-устройства в сети"  +/
Сообщение от ишшеЧадын_аномим on 26-Авг-10, 00:31 
Детские проверки от младенцев. По последнему пункту - p0f и прочие нмапы блочится на раз,
профиль в соединения в linux/BSD  то же меняется на раз, помнится у меня еше в 2007 опенок по данным нмапа был W2k0
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Выявление NAT-устройства в сети"  +/
Сообщение от Andrey Mitrofanov on 26-Авг-10, 09:45 
http://www.acronymfinder.com/Information-Technology/PBR.html :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Раздел полезных советов: Выявление NAT-устройства в сети"  +/
Сообщение от mr_gfd on 26-Авг-10, 13:45 
TTL поменять не есть вопрос. Scrub на интерфейсе устроить - и все. -1
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Выявление NAT-устройства в сети"  +/
Сообщение от Кирилл email(??) on 27-Авг-10, 10:09 
Коллеги, какой вы интерфейс скрабить собираетесь? Речь шла, скорее всего, об устройствах типа домашних рутеров.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Выявление NAT-устройства в сети"  +/
Сообщение от ххх on 27-Авг-10, 12:01 
> p0f и прочие нмапы блочится на раз

как p0f может "блочится" если он ничего не посылает в сеть? ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Выявление NAT-устройства в сети"  +/
Сообщение от SystemIX on 27-Авг-10, 14:02 
На домашних роутерах чаще всего линуксь с айпитаблесом. Поэтому сильно резвых детектеров можно айпитаблесом немного нагнуть чтобы не зарывались. Лучше всего для таких вещей подходит прошивка openwrt или dd-wrt. Пусть удетектируются.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Выявление NAT-устройства в сети"  +/
Сообщение от Georges (ok) on 27-Авг-10, 14:29 
И на многих домашних роутерах openwrt стоит?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Выявление NAT-устройства в сети"  +/
Сообщение от AdVv (ok) on 29-Авг-10, 21:15 
Имелась ввиду подмена некоторых параметров стека tcpip, по которым можно определить операционную систему. Проблемка только в том, что придется это проделать со всеми машинами, расположенными за nat, заодно подправив и ttl. На практике это бывает проблематично, если только это не пара машин в квартире.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Выявление NAT-устройства в сети"  +/
Сообщение от AdVv (ok) on 29-Авг-10, 21:17 
>На домашних роутерах чаще всего линуксь с айпитаблесом. Поэтому сильно резвых детектеров
>можно айпитаблесом немного нагнуть чтобы не зарывались. Лучше всего для таких
>вещей подходит прошивка openwrt или dd-wrt. Пусть удетектируются.

Особо резвых нагибаторов при малейшем подозрении шейпят. И хоть полгорода через себя пропускай ...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Выявление NAT-устройства в сети"  +/
Сообщение от Anonymuz on 30-Авг-10, 11:26 
Не упоминая о том, что техника боянная - вопрос в её целесообразности. Как сказано выше - кому надо, детектеров передетектят, а домашний роутер, натящий домашний же десктоп и ноут детектить и смысла нет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Выявление NAT-устройства в сети"  +/
Сообщение от Kirill email(??) on 30-Авг-10, 14:04 
>Не упоминая о том, что техника боянная - вопрос в её целесообразности.
>Как сказано выше - кому надо, детектеров передетектят, а домашний роутер,
>натящий домашний же десктоп и ноут детектить и смысла нет.

У вас ограниченные понятия о применениях SOHO рутеров.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Выявление NAT-устройства в сети"  +/
Сообщение от nuclight email(ok) on 30-Авг-10, 16:59 
Гораздо более надежной является техника, которая использует другие особенности стека, не TTL. Можно погуглить в сети файл fnat.pdf, в нём рассказано - правда, исходников детектора нет, увы.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Выявление NAT-устройства в сети"  +/
Сообщение от unscrubber on 31-Авг-10, 07:29 
я так и не понял смысла статьи, точней цели ее написания.

автор может пояснит зачем (и кому) всё-таки надо "Выявлять NAT-устройства в сети" ??

я вижу лишь для провайдеров интерес да и то ооочень сомнительный особенно в 21 веке, в эпоху безлимита и оптики в квартиру. профиль потребления трафика даст больше инфы но и он далеко не 100% верен.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Выявление NAT-устройства в сети"  +/
Сообщение от Kirill email(??) on 31-Авг-10, 09:24 
>я так и не понял смысла статьи, точней цели ее написания.
>
>автор может пояснит зачем (и кому) всё-таки надо "Выявлять NAT-устройства в сети"
>??
>
>я вижу лишь для провайдеров интерес да и то ооочень сомнительный особенно
>в 21 веке, в эпоху безлимита и оптики в квартиру. профиль
>потребления трафика даст больше инфы но и он далеко не 100%
>верен.

Скажем, есть сеть предприятия, где выход в Интернет ограничен по политическим соображениям. Предприятие большое. Есть powerusers, которые покупают SOHO рутеры, для того, чтобы не оформлять документы для подключения.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Выявление NAT-устройства в сети"  +/
Сообщение от unscrubber on 01-Сен-10, 07:09 
и кому это там (где "выход в Интернет ограничен по политическим соображениям") интересно ? пользователям с SOHO или остальным пользователям копроративной сети?
бредятина. вы не ответили на вопрос.
тем паче что пляски с tcpdump предлагается делать на своем подконтрольном nix маршрутере, а вовсе не на SOHO коробочке.
походу речь всетаки о провайдере, только это не пишется напрямую (незнаю зачем это скрывать).
во-первых он по ttl может не увидеть толком ничего, например PF\srub это лечит, во вторых - провайдер лишится просто напросто клиента (не дадут работать через soho коробку - уйдут к йоте или жпрс)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Выявление NAT-устройства в сети"  +/
Сообщение от kirill email(??) on 01-Сен-10, 08:36 
>и кому это там (где "выход в Интернет ограничен по политическим соображениям")
>интересно ? пользователям с SOHO или остальным пользователям копроративной сети?
>бредятина. вы не ответили на вопрос.
>тем паче что пляски с tcpdump предлагается делать на своем подконтрольном nix
>маршрутере, а вовсе не на SOHO коробочке.
>походу речь всетаки о провайдере, только это не пишется напрямую (незнаю зачем
>это скрывать).
>во-первых он по ttl может не увидеть толком ничего, например PF\srub это
>лечит, во вторых - провайдер лишится просто напросто клиента (не дадут
>работать через soho коробку - уйдут к йоте или жпрс)

Я не буду вступать в полемику, на тему "и кому это там интересно? бредятина.". На ваш вопрос
> автор может пояснит зачем (и кому) всё-таки надо "Выявлять NAT-устройства в сети" ??

я ответил частично, а именно на часть вопроса "кому". Успокойтесь - я не провайдер.
Для чего вы начали искать причину? Мне кажется, это выходит за рамки этой ветки. Удачи.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Выявление NAT-устройства в сети"  +/
Сообщение от unscrubber on 01-Сен-10, 13:57 
вашу удачу оставьте себе как и спокойствие.
вы описывали сферу применения своего рецепта но сформулировали двусмысленно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Выявление NAT-устройства в сети"  +/
Сообщение от я вс понел on 02-Сен-10, 16:18 
Речь идёт о следущей ситуации. Вот я сижу админ такой, у меня есть точка, за которой сразу-интернет. А к этой точке я разрешаю проходить всем клиентам, оплатившим. Так вот мне будет интересно проанализировать входящий трафик к этой точке с серой стороны (с локалки) на предмет того, а не сидят ли несколько человек через нат, эмулируя одно подключения к моей точке? Да, это детектится ЗНАЧИТЕЛЬНО проще. Это детектится по номерам исходящих портов с подозреваемого на nat-box компа. я даже такой скрипт на perl написал-ловит pcap пакеты (10 мегабит) и если с какой то машины исходящие порты идут не ровным приращением, а как бы из разных обособдленных областей-там точно нат.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Выявление NAT-устройства в сети"  +/
Сообщение от муталиск on 02-Сен-10, 16:22 
Нат как правило пытается делать static ports, то есть пытается отдать пакет с того же порта что и его клиент. Если комп один - биение номера исходящего порта предсказуемо на определенном радиусе. Если это нат - то у него будет несколько (по числу клиентов) центров таких радиусов. Элементарно пишется анализатор.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Выявление NAT-устройства в сети"  +/
Сообщение от pavlinux (ok) on 04-Сен-10, 17:12 
Кому, кому, это нужно кульхацкерам из районых сетей.
Для узнавания MAC адреса, по которому фильтруется,
например, удалённый доступ к девайсу, а там и пароль доступа,
и в итоге халявный доступ.

Быстрее конечно перегрызть провод в подъезде, в 4 часа утра,
и впиндюрить туда кольцевой хаб на резисторах. http://www.colan.ru/img/artpics/2003/02/fbr2902.png


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру