serzant 0 Опубликовано: 2006-04-26 09:40:31 Share Опубликовано: 2006-04-26 09:40:31 Интересует, есть ли практичные варианты (допустим через 'snifing', через наблюдения за пакетами) определения что какой-то клиент сделал свой NAT (internet sharing), допустим делиться интернетом с соседом или 2 PC в комнате.. ну неважно. Будь это WinXP sharing или какакая тайванская штуковина или линукс. Мне человек ляпнул что по TTL можно определить, правда ли ? Ваши варианты. Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2006-04-26 12:44:46 Share Опубліковано: 2006-04-26 12:44:46 Юзай поиск по форуму и найдешь аналогичную тему. А вообще: 1. Ставишь в локалке с подозреваемым на шлюзе TTL 1. Если ната нет, у него сайт, расположенный на шлюзе, открываться будет. Если есть нат, то не будет. Так-же можно более менее верно определить по клиентскому TTL. Обычно TTL = 2 в какой-то степени. Понятно, что если он на 1-2 меньше, то тут что-то нечисто) 2. На форумах типа invision board при посте сообщения записывается ип-адрес отправившего. Так вот, записывается внутренний адрес компа в локалке, а не внешний прова. Хз, почему так. Или там хитрая работа с заголовками или там на страничке выполняется какой-то скрипт, который отправляет адрес запросом. Т.е. можно написать страничку, при заходе на которую будет светиться внутренний адрес зашедшего. 3. Если в курсе про структуру IP и TCP заголовков, и в курсе что такое SYN, ACK, FIN, SEQ и т.д., то запускаешь сниффер и анализируешь траффик клиента. На винде при открытии каждого нового TCP соединения SEQ увеличивается на 1. Кроме того, порт источника тоже при каждом новом соединении увеличивается на 1, если увеличивается. Поэтому, если сниффер показывает SEQ у 9 исходящих пакетов типа 3000, 3001, 3002, 6000000, 6000001, 6000002, 4598, 4599, 4600, то можно сделать вывод, что сейчас за компом клиента выходят в инет ещё 3 компа. Хотя этот метод во многом аналитический. 4. Ещё можно сниффать сеть. Теоретически, если с компа клиента с адресом 192.168.1.1 посылаются бродкасты от адреса 192.168.5.2, значит, возможно, дело нечисто ) Могу сказать, что все способы кроме второго нейтрализуются хитрой настройкой клиентской машины (которая нелегально используется как шлюз). На винде врядли получится нейтрализовать. Я это смогу нейтрализовать на FreeBSD. Второй способ _наверное_ можно нейтрализовать на клиентских машинах. Ещё могу сказать, что все это можно использовать для проверки своих подозрений, но никак не для доказательств. Хотя доказывают в суде, а амдину достаточно подозрений) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас