|
Тема |
undetectable NAT, well almost :) |
|
Автор |
Гoлeм Лaмep (непознат
) |
|
Публикувано | 16.05.04 16:16 |
|
|
В последно време много се изписа по въпроса за споделяне на интернета в рамките на едно домакинство, но аз няма да се впускам в расъждения относно моралната страна на въпроса, понеже гледната точка на краен потребител би повлияла силно върху разсъжденията ми. Просто бях подразнен от арогантното поведение на някои ISP-та, които смятат че тяхната гледна точка е единствено вярната, че потребителите са банда крадци на интернет и единствената им цел е да го ползват безплатно или да го разпродават и за да ги ограничат в това им престъпно деяние администраторите имат абсолютните права да се разпореждат както намерят за добре.
И реших да направя няколко опита...
В началото сетнах едно proxy и си разпределих интернета на машините у нас. Процеса беше доволно тривиален /CCProxy, squid etc./, обаче проксито имаше някои недостатъци и реших да го пусна през NAT. Неоткриваемия NAT /почти/ се предсавя от ISP-тата като нещо, което не може да бъде направено, а напротив това е несложен процес.
1. "Най-страшното оръжие" активната превенция срещу споделяне на интернета TTL=1.
Елементарно. Вдига се TTL=64 примерно /макар че и 3 е напълно достатъчно/ на всички входящи пакети.
2. когато две машини решат да обменят информация трябва да постигнат споразумение и да си стиснат ръцете :) тук е втората уловка. Някои от "посредниците" за преговорите са с бради, други с мустаци, трети са гладко избръснати /в зависимост от средата в която са израснали/ и съответно могат да бъдат различавани. Бръсни, стрижи, бръсни, стрижи и готово. /Да, за SYN пакети става дума/
3. на application level различните клиенти: браузъри, телнет и пр. при комуникация си казват всичко преди да си ги питал :) Например:
Браузър: ДАЙ Памела Андерсън от дата.бг
Аз съм IE 6.0, работя на WinXP и т.н.
4. времената за отговор на различните стекове с цигари :)
5. DHCP Request /ако използвате DHCP/ пакетите трябва да бъдат модифицирани в случай, че се използва различна ОС за рутера от ОС на клиентите.
6. ограничаваме броя сесии. Като внасяме малко случаен момент. Пример:
Максималният брой сесии е 15. Определяме броя им в зависимост от накакъв случен фактор, примерно между 12-15 през определен/неопределен период от време. /За да не се грижите в кухнята колко mp3-ки се свалят./
7. Ограничаваме месечния трафик, като се стремим да сме винаги около средното потребление за нашия акаунт. Това е важен момент за да не попадаме в полезрението на ISP-тата и може да бъде контролирано лесно понеже сме в рамките на едно домакинство.
8. ICMP /освен ECHO REPLY, Destination unreachable/ от интернет към нас Log & drop.
TCP spoofed packets, с вдигнат SYN и FIN примерно, Log & Drop.
и т.н.
9. Пускаме една машина с Real-time virus scanner, да сканира за вируси, тр. коне и пр. Това плюс различна антивирусна защита за отделните клиентски машини /ако ви хакнат он-лайн антивируса примерно/
10. Ами ако се маскираме като борче :) или като телевизор :) или като електронна игра :)))
... и готово. За около 60-80$ /ако използваме 2 машини/ и 2-3 дена работа /настройки и тестове/ имаме почти /97.8%/ неоткриваем NAT, като при това сме прилично защитени.
|
| |
|
|
|