ano, nat je zaplý, co si mám představit pod pojmem vnější rozhraní routeru? kdyby opravdu chtěl zjistit co mám za routerem, jak dlouho by to mohlo trvat a je to vůbec možné?
__________________
DELL XPS 1330
na jinych serverech vystupuji pod nickem Camo
Pokud má přístup do AP tak se u některých může podívat do ARP tabulky a zjistit která další zařízení jsou připojená (kolik, výrobce - dle MAC adresy). Jinak nic. Jo a spousta zařízení má tzv "default" login - univerzální heslo - něco jako zadní vrátka - tak si dát bacha na tohle. Jinak myslím že víc nemůže¨......
Z charakteru prochazejicich paketu jde casto urcit, co je za routerem/natem schovane (uz to, zda tam vubec neco je natovane). Zalezi na tom, na kolik tyhle informace nekoho realne zajimaji a nakolik si s tim bude chtit dat tu praci... to, ze nat vsechno schova a nic za nim videt vubec neni je hojne rozsireny mytus
ok, takže dá se to vystopovat, jak dlouho mu to může trvat? ok zjistí že mám router, uvidí nějak ty zařízení co mám za routerem? co je to zač nebo kolik je trafic daného zařízení?
__________________
DELL XPS 1330
na jinych serverech vystupuji pod nickem Camo
Snad jen jeste, pokud to router umi, si nastavit, ze u packetu ma nastavit stejny TTL, ale stejne nevim o ISP, ktery by to resilo, protoze ta prace s tim nema zadnej smysl. Musle by to totiz delat u vsech klientu a to neni mozny realne.
jasne tim ze bude odchytavat pakety se da zjistit skoro vsechno ( ale ne treba kolik je tam pocitacu ) vse se tvari jako jedno zarizeni. kolik je pocitacu muze podle paketu jen hadat . nevim kdo by resil co si delas za routerem a nevim jestli by to nekoho zajimalo . jinak k tomu loginu . vecina routeru umoznuje defaul prihlaseni do web popr. telnet administrace jen na "lan" rozhrani a kdyz je potreba pristup z venci tak se nadefinuje prislusna "remote control" ip ze které to půjde a na "wan" rozhrani filtruje vsechen prichozi provoz . pokude teda neni neco forwardovaneho
Treba NTOP Ti napraska na ktere IP je router (NAT) a ktera IP generuje "Suspicious Traffic"
---------------------------------------
-q --create-suspicious-packets This parameter tells ntop to create a dump file of suspicious packets.
There are many, many, things that cause a packet to be labeled as 'suspicious', including:
Detected ICMP fragment
Detected Land Attack against host
Detected overlapping/tiny packet fragment
Detected traffic on a diagnostic port
Host performed ACK/FIN/NULL scan
Host rejected TCP session
HTTP/FTP/SMTP/SSH detected at wrong port
Malformed TCP/UDP/ICMP packet (packet too short)
Packet # %u too long
Received a ICMP protocol Unreachable from host
Sent ICMP Administratively Prohibited packet to host
Smurf packet detected for host
TCP connection with no data exchanged
TCP session reset without completing 3-way handshake
Two MAC addresses found for the same IP address
UDP data to a closed port
Unknown protocol (no HTTP/FTP/SMTP/SSH) detected (on port 80/21/25/22)
Unusual ICMP options
When this parameter is used, one file is created for each network interface where suspicious packets are found. The file is in tcpdump (pcap) format and is named <path>/ntop-suspicious-pkts.<device>.pcap, where <path> is defined by the -O | --output-packet-path parameter.
20.07.2008 v 07:54
