Võrgujagamise lihtne peitmine ISP jaoks
Sissejuhatust
NATi avastamiseks on olemas mitmeid meetodeid, antud pederatsiooniga tegeleva seltskonna taset arvestades tuleb neist kõne alla mõni üksik. Näiteks niisugune - monitooritakse sisevõrgu-ip pealt ISP ruuterisse tulevaid pakette ja jälgitakse nende TTL'i, ID või mõlema väärtust. Täna vaid TTL-ist.
Seletust
TTL (Time-to-Live) on üks iga tcp/ip paketi sisse kirjutatud arvväärtustest, mille omistab paketi tekitanud süsteem. Uutel Windoozadel on TTL default 128. Paketi ruuterist läbiminekul vähendab iga ruuter (seebikas, ICS, ront jms) seda väärtust ühe võrra. Kui windoozast otse ISP ruuterisse jõudva paketi TTL oleks 128, siis juba korra ruuditud (natitud) paketil 127, 2x natitud paketil 126 ja nii edasi. Ruuteris, kus TTL "tühjaks saab", mõrvatakse pakett ära - vastasel korral jääks nad Internetti hulkuma.
Näide
.. paketist, mis saadetud Internetti läbi NAT'i, nuhkware-rondi taga sisevõrgus asuva win2k poolt: ..5.227.1085 > 194.126.101.116.110:... ack 36 win 17485 (DF) (ttl 127, id 760, len 51) Sama pakett jõuaks ilma NATi läbimata ISP-le aga nii: ..5.227.1085 > 194.126.101.116.110:... ack 36 win 17485 (DF) (ttl 128, id 760, len 51)
Kuidas TTL'i jälgida ja sellele reageerida jääb pederaatori otsustada. Võimalusi selleks on, aga nagu näete, pole NATi avastamine sugugi raske. NAT'i taga asuvate masinate arvu saab enam-vähem määrata paketi järgmise välja - ID järgi, kirjeldamine läheks pikale. Selle asemel teeme ühe praktikumi, eesmärgiga oma jagamine veidi paremini ära peita.
Sõjaplaan
Paneme enda jaoks paika, et kus ja milliste masinate puhul TTL väheneb. Kui meil on ruuter, siis kõigi selle taga asuvate masinate puhul - kui aga ICS või mõni muu jagaja otse kasutajamasinas, siis ainult nendel, kellele edasi jagatakse.
Action
Ruuterit-jagajat ei torgi, valime lihtsama tee... ja suurendame jagatud võrgu kasutajamasinate default-TTLi ühe võrra. Pederaator näeb jagajat läbinud pakettides "õiget" otse-windooza TTLi - 128 (linuxil analoogselt enamasti 64) ja saab rahulikult magada - teadmisega, et sai järjekordsele ligimesele sitta keerata.
XP-d ma ei salli ega tarvita, aga w2k oli olemas ja vaevalt nad palju erinevad... Registri võtit, mis TTL-i paika paneb, masinas ei leidunud - see tuli sinna ise teha. Regedit käima ja paika nimega HKEY_LOCAL_MACHINE\SYSTEM\Current_controlset\Services\Tcpip\Parameters\ ; seal right-click, new >dword value. Nimeks paneme DefaultTTL, valime "decimal" ja seame väärtuseks 129
Edasi restart ja pingime muudetud masinat kontrolliks mõnest teisest arvutist - kui õigesti sai, siis peab pingivastuses sisalduma TTL=129. Pärast kohaliku võrgujagamise läbimist jääb sellest alles 128... ja ongi kõige lihtsamalt avastatav NAT'i tundemärk pakettidest kadunud. Ruuteri mac tuleks veel mõnele tavalisele võrgukaarditootjale eraldatud prefiksile kloonida ja icmp-scanni vältimiseks selle perekonna mittevajalikud sugulased kinni keerata (tervet icmp-d ei tohi, seda on võrgutamiseks tarvis!).. - sedaviisi ei tohiks pederaatoril hulga aega igav hakata.
Autor: nuhk nuhk@hot.ee