Tomsk Sysadmins Forum

Unix => Разное => Topic started by: nikkes on April 19, 2011, 18:20:45

Title: наличие подсети за NAT/PROXY
Post by: nikkes on April 19, 2011, 18:20:45

 Подскажите, как можно узнать, что за фиксированным ip сидит сетка под NAT/Proxy?
цель: раздавать инет только конкретному пользователю и не выпускать тех, кому он сам раздет инет.
т.е. кроме изменения TTL (что пользователь может и корректировать), как еще можно узнать, что через ip-адрес
пользователя выходит несколько фейковых ip?

Title: Re: наличие подсети за NAT/PROXY
Post by: Unit on April 19, 2011, 19:02:59

tcpdump, например, может много чего рассказать о летающих пакетах.

Title: Re: наличие подсети за NAT/PROXY
Post by: nikkes on April 19, 2011, 19:37:22

можно поподробнее? как анализ пакетов поможет обноружить и дропить за ip NAT-подсеть?
модуль strings в  POM к iptables, если я правильно понимаю, тоже не поможет из-за ложных срабатываний... :(
т.е., как я думаю - обнаружить на шлюзе NAT возможно по ttl (что легко обходится) либо наличием адреса-отправителя в
http (который не понятно как разбирать, поскольку для анализа нужно как минимум склеить пакеты)...
возможно ли как-то еще определить?
 (другой пример: к провайдеру подключается клиент-частник, который начинает продавать через себя инет. как провадер может
опредилить, что в его сети завёлся такой негодяй)?
PS: речь идет про то, как на шлюзе реализовать идею: через выделенный адрес может выходить только 1 абонент (а не фейковая подсеть за ним)

Title: Re: наличие подсети за NAT/PROXY
Post by: Unit on April 19, 2011, 21:12:30

Quote from: nikkes on April 19, 2011, 19:37:22

можно поподробнее? как анализ пакетов поможет обноружить и дропить за ip NAT-подсеть?
модуль strings в  POM к iptables, если я правильно понимаю, тоже не поможет из-за ложных срабатываний... :(
т.е., как я думаю - обнаружить на шлюзе NAT возможно по ttl (что легко обходится) либо наличием адреса-отправителя в
http (который не понятно как разбирать, поскольку для анализа нужно как минимум склеить пакеты)...
возможно ли как-то еще определить?
 (другой пример: к провайдеру подключается клиент-частник, который начинает продавать через себя инет. как провадер может
опредилить, что в его сети завёлся такой негодяй)?
PS: речь идет про то, как на шлюзе реализовать идею: через выделенный адрес может выходить только 1 абонент (а не фейковая подсеть за ним)

Ваша мысль понятна, но как вы будете действовать с клиентом у которого дома стоит обычный роутер? Прописывать персональное исключение?
Помнится несколько лет назад северский провайдер Оберон как раз отслеживал NAT по TTL, всё привело к тому, что данная практика ухудшила карму. Плюс в связи с ростом популярности домашнего роутера данная практика была сведена на нет.

На мой взгляд, в данной надо детальнее анализировать трафик клиента. Однако, забывать про ущемление прав тоже не стоит. Провайдер не в праве запрещать абоненту всё, что ему взбредёт в голову.

Title: Re: наличие подсети за NAT/PROXY
Post by: nuclight on April 20, 2011, 12:29:20

Экономически гораздо перспективнее просто зажимать клиенту полосу на оговоренную в тарифе ширину, и дальше уже его проблема, что он кому-то отдает свой кусок. Плюс те же самые домашние роутеры...

Но если хочется повозиться, вручную анализируя дампы, то можно смотреть последовательности IPID. В большинстве ОС это монотонно возрастающий счетчик, т.е. сколько на графике удастся выделить прямых, столько и будет машин с такими ОС. Вручную, потому что из-за разных факторов автоматизировать не получится, пропуски в последовательности совершенно обычны, да и закорачиваться 16 бит могут очень быстро.