|
Тема
|
undetectable NAT, well almost :)
|
|
Автор |
Гoлeм Лaмep (непознат
) |
Публикувано | 16.05.04 16:16 |
|
В последно време много се изписа по въпроса за споделяне на интернета в рамките на едно домакинство, но аз няма да се впускам в расъждения относно моралната страна на въпроса, понеже гледната точка на краен потребител би повлияла силно върху разсъжденията ми. Просто бях подразнен от арогантното поведение на някои ISP-та, които смятат че тяхната гледна точка е единствено вярната, че потребителите са банда крадци на интернет и единствената им цел е да го ползват безплатно или да го разпродават и за да ги ограничат в това им престъпно деяние администраторите имат абсолютните права да се разпореждат както намерят за добре.
И реших да направя няколко опита...
В началото сетнах едно proxy и си разпределих интернета на машините у нас. Процеса беше доволно тривиален /CCProxy, squid etc./, обаче проксито имаше някои недостатъци и реших да го пусна през NAT. Неоткриваемия NAT /почти/ се предсавя от ISP-тата като нещо, което не може да бъде направено, а напротив това е несложен процес.
1. "Най-страшното оръжие" активната превенция срещу споделяне на интернета TTL=1.
Елементарно. Вдига се TTL=64 примерно /макар че и 3 е напълно достатъчно/ на всички входящи пакети.
2. когато две машини решат да обменят информация трябва да постигнат споразумение и да си стиснат ръцете :) тук е втората уловка. Някои от "посредниците" за преговорите са с бради, други с мустаци, трети са гладко избръснати /в зависимост от средата в която са израснали/ и съответно могат да бъдат различавани. Бръсни, стрижи, бръсни, стрижи и готово. /Да, за SYN пакети става дума/
3. на application level различните клиенти: браузъри, телнет и пр. при комуникация си казват всичко преди да си ги питал :) Например:
Браузър: ДАЙ Памела Андерсън от дата.бг
Аз съм IE 6.0, работя на WinXP и т.н.
4. времената за отговор на различните стекове с цигари :)
5. DHCP Request /ако използвате DHCP/ пакетите трябва да бъдат модифицирани в случай, че се използва различна ОС за рутера от ОС на клиентите.
6. ограничаваме броя сесии. Като внасяме малко случаен момент. Пример:
Максималният брой сесии е 15. Определяме броя им в зависимост от накакъв случен фактор, примерно между 12-15 през определен/неопределен период от време. /За да не се грижите в кухнята колко mp3-ки се свалят./
7. Ограничаваме месечния трафик, като се стремим да сме винаги около средното потребление за нашия акаунт. Това е важен момент за да не попадаме в полезрението на ISP-тата и може да бъде контролирано лесно понеже сме в рамките на едно домакинство.
8. ICMP /освен ECHO REPLY, Destination unreachable/ от интернет към нас Log & drop.
TCP spoofed packets, с вдигнат SYN и FIN примерно, Log & Drop.
и т.н.
9. Пускаме една машина с Real-time virus scanner, да сканира за вируси, тр. коне и пр. Това плюс различна антивирусна защита за отделните клиентски машини /ако ви хакнат он-лайн антивируса примерно/
10. Ами ако се маскираме като борче :) или като телевизор :) или като електронна игра :)))
... и готово. За около 60-80$ /ако използваме 2 машини/ и 2-3 дена работа /настройки и тестове/ имаме почти /97.8%/ неоткриваем NAT, като при това сме прилично защитени.
| |
Тема
|
Re: undetectable NAT, well almost :)
[re: Гoлeм Лaмep]
|
|
Автор |
Cтepн™ (любопитко) |
Публикувано | 16.05.04 19:35 |
|
И що толкова труд? Като има и по-лесен начин.
Аз отидох при провайдера си и му казах, че искам да пусна още един комп, за мирка на щерката. Той веднага ми даде още едно ИП + още едно, реално-за всеки случай, пусна малко кабел и го ръгна в суича, дето е у нас.
После пусна акаунта към този на "основното" РС и ми каза "Плащаш си за толкова и толкова Нет, прави с него каквото искаш".
Отне ни 30 мин.(пускането на кабела )
... и PanasonicРедактирано от Cтepн™ на 16.05.04 19:37.
| |
Тема
|
Re: undetectable NAT, well almost :)
[re: Cтepн™]
|
|
Автор |
C_H (минаващ) |
Публикувано | 16.05.04 23:56 |
|
С малката разлика че ти плащаш на трафик, а споделянето се прави предимно от хора с неограничени възможности (трафик с други думи)
| |
Тема
|
Re: undetectable NAT, well almost :)
[re: Cтepн™]
|
|
Автор |
Гoлeм Лaмep (непознат
) |
Публикувано | 17.05.04 15:47 |
|
Поради няколко причини.
Първо, централизирано управление и защита. Целият трафик минава през FW, след това през друг FW+AV и чак тогава стига до десктоп машините. В противан случай трябва да имам FW+AV на всяка машина, което в твоя случай / 2 комп. / е лесно, но ако имаш 5-6 машини :)
Второ, провайдера ми има доста странна политика в това отношение. На въпроса ми може ли да свържа и други компютри през които да минава нет-а, той ми отговори: Да, може срещу 70% за всеки компютър от цената на основния пакет. :))) "Ако имаш компютърен клуб ще ти направим отстъпка", Ама аз нямам компютърен клуб - значи няма отстъпка.
И преди да си сменя провайдера реших да пробвам дали мога да направя нещо по въпроса ![](http://i.dirbg.com/clubs/icons/laugh.gif)
| |
Тема
|
Re: undetectable NAT, well almost :)
[re: Гoлeм Лaмep]
|
|
Автор |
swe (непознат
) |
Публикувано | 17.05.04 23:39 |
|
Zdravei, bi li obiasnil kak tochno pravish vsichkite tia raboti?
S kakvo pravish NAT? Az lichno izpolzvam Win Route 5.1.10, no ot kyde se promenia time to live (TTL) na paketite? Pyk i za vsichki ostanali nesta, obiasni malko po podrobno ako ne te zatrudniava.
Blagodaria predvaritelno :-)
| |
Тема
|
Re: undetectable NAT, well almost :)
[re: swe]
|
|
Автор |
Гoлeм Лaмep (непознат
) |
Публикувано | 18.05.04 17:46 |
|
Щом ползваш Win, най-добре си пусни едно прокси примерно CCProxy. Ако ти се занимава си качи едно BSD или един Linux. Питай google за active fingerprinting; passive fingerprinting; p0f; nmap; thc-amap за да разбереш как ISP откриват NAT. Прочети и CCNA 1 за да добиеш представа как работи TCP/IP. Съвета ми е да ползваш прокси. Много по-лесно е и не изисква много усилия. Можеш да си пуснеш ICQ през браузъра от http://go.icq.com. Пощата можеш да я четеш през web-intrface /като на абв.бг/, вместо през outlook express. Сложи и един Firewall примерно Kerio Winroute.
| |
Тема
|
Re: undetectable NAT, well almost :)
[re: Гoлeм Лaмep]
|
|
Автор |
yHuKyM (непознат
) |
Публикувано | 22.05.04 10:28 |
|
И как смени TTL-a ?
| |
|
google: change TTL. Ако ме питате за Win нямам представа. От registry можете да променяте само TTL на изходящите пакети :). Но това е най-малкият ви проблем. Дори да го вдигнете TTL=255, идва следващия проблем: SYN пакетите от различните машини се различават значително /ако са от различни ОС, какъвто е общия случай/ и трябва да ги уеднаквите. Изобщо ИЗХОДЯЩИТЕ пакети / не само SYN/ трябва да са почти /TTL, DF, etc/ еднакви. Различните браузъри и различните им версии също могат да бъдат различавани. Ако ви трябва бързо разделяне ползвайте прокси, ако ви се занимава имате някои идеи. ![](http://i.dirbg.com/clubs/icons/cool.gif)
| |
|
|
|
|