SB :: 1000 Know-How :: Как обнаружить использование NAT?

Вася Пупкин^s · Добавлено: Пн Авг 06, 2007 9:45 pm

Как обнаружить использование NAT?
Мои мысли:
1) По TTL
2) по диапазону трансляции портов
3) Социальная инженерия.

Что может быть ещё?

Ocean · Добавлено: Пн Авг 06, 2007 10:10 pm

терморектальный криптоанализ в пункт 3 входит?

Вася Пупкин^s · Добавлено: Пн Авг 06, 2007 10:26 pm

Ocean, ага *Smile*

Вася Пупкин^s · Добавлено: Пн Авг 06, 2007 10:33 pm

Ещё такую штуку нашёл. Кто-нибудь может прокомментировать?

Цитата:

Методики пассивного и активного обнаружения сетевых ретрансляторов.

Пассивные

1) Раскрытие реального IP адреса (адрес не обрабатывается редактором). Протоколы:
- SMTP (аргументы HELO/EHLO).
- Обратный DNS на локальный адрес к внешнему серверу.
- Oscar, MSN, MRA и др. (прямые соединения).

2) Раскрытие реального номера порта источника. Протоколы:
- Протокол игры Valve (Counter Strike и т.д.). Порт источника фиксирован.
- NTP (синхронизация времени). Windows XP также позволяет сделать вывод о количестве сетевых интерфейсов на машине путем анализа проходящих пакетов (она шлет ровно столько пакетов, сколько интерфейсов обнаружено; обязательно есть пакет с истинным (123) портом источника).

3) Раскрытие аптайма машины (обнаружение ретрансляции путем анализа аптаймов и выявления "отклонений"). Протоколы:
- Firefox SSL (только последние версии). Поле unix_time (протокол TLS) Firefox использует для передачи аптайма (в секундах).

4) Различия в реализации сетевых стеков различных ОС.
- Фингерпринт TCP SYN пакетов (различия в опциях TCP SYN пакета). Позволяет обнаружить NATы, за которыми находятся Windows (2000/XP/Vista) и различные Linux/*BSD машины. В Windows системах опции различаются у 2000/XP и Vista (различия в поле Max Segment Size и количестве опций вообще), также есть различия в значениях Window (только у TCP SYN пакета, дальше значения окна выбираются сложным образом). Вероятно, есть различия в количестве SYN пакетов, которыми система пытается установить соединение с хостом при использовании стандартного connect().
- Значение TTL IP пакета. Тема довольно изжеванная, комментировать особо не буду. Windows тачки выставляют TTL = 128, Unix системы: TTL = 64. Также можно определить NAT по заниженным значениям TTL (каждый пройденный роутер уменьшает это поле на единицу).

Обнаружение прокси, ведущих в локальную сеть (со стороны провайдера):
Принцип обнаружения заключается в отлове "проксифицированных" пакетов на шлюзе провайдера. Это могут быть HTTP 1.1 CONNECT запросы, либо просто GET/POST запросы с полным адресом URL (RFC требует полный путь к запрашиваему ресурсу (а не относительный)).

Ошибка, ведущие к раскрытию локальной сети за хостом, в DHCP серверах:
При отправке UDP пакета на стандартный бродкаст адрес (255.255.255.255) некоторые системы (не задающие адрес отправителя) рассылают пакет по всем интерфейсам. Т.е. со стороны "внешней сети" можно увидеть такие пакеты (на самом деле они адресованы совершенно в другую сеть и ошибок во внешнюю не несут).

Активные

1) Тест на маршрутизацию (обнаружение "раздающих халяву" или неправильно настроенного железа/софта): тест заключается в попытке отправить "пинг" пакет через тестируемый адрес (добавив его в таблицу маршрутизации). Иначе говоря, посыл "пинг" пакетов на MAC тестируемого хоста.
2) Обнаружение WEB интерфейсов железных роутеров и Kerio WinRoute.

Smolny · Добавлено: Вт Авг 07, 2007 10:48 am

Все эти методики на стороне нарушителя легко обрубаются

Udav · Добавлено: Вт Авг 07, 2007 11:23 am

Ну скажем не легко, но при желании на любое противодействие есть контр-меры. Но в общем случае это приводит к подозрительному трафику: например, в сети где 99% народа сидят на виндах XP и понятия не имеют про TCP/IP, появление хоста, у которого вместо предсказуемой цепочки IP ID идёт рандомный мусор, сразу же привлечёт внимание, ну а дальше - дело техники терморектального криптоанализа =)

Jevvel · Добавлено: Вт Авг 07, 2007 8:42 pm

Wiseman:

Как обнаружить использование NAT?

Зачем тебе оно надо?
Если ты администратор ЛВС и пытаешся запалить "плохого" юзера , то найди другую работенку *Smile*

или займись чемнибудь полезным *В танке*

...

Вася Пупкин^s · Добавлено: Вт Авг 07, 2007 10:14 pm

Jevvel, а ты с какой целью интересуешься? *Smile*

P.S. Просто интересно. А так мне пофиг, чем у нас юзеры занимаются, главное чтобы работу свою делали.

Were · Добавлено: Ср Авг 08, 2007 9:52 am

Phrack #63 - Linenoise, вторая статья.

Smolny · Добавлено: Ср Авг 08, 2007 10:30 am

Опять же, NAT-компутер может менять пакеты, и ставить внутрь рандомный таймстамп, что приводит к невозможности отработки столь простой математики. Вообще, если каждый из компьютеров под NATом будет такое делать, то анализ а-ля монте-карло или подбор какого-нибудь вида распределения, соответствующего генератору случайного стампа даст для каждой машины свои коэффициенты => их можно будет отличать. Но если это делает сам NAT, то и такой анализ бесполезен. Аналогично п. 3, 4.2 у Wiseman.

Were · Добавлено: Ср Авг 08, 2007 3:26 pm

Да никто ж не спорит, что "терморектальный криптоанализ" (ц) единственный безотказный способ )

Smolny · Добавлено: Ср Авг 08, 2007 4:19 pm

Нет, и это не так ;-) Под таким анализом и я скажу, что у меня все компутеры на работе под NATом, PATом, ломают сервера пентагона и содержат десткое порно. Поди угадай ;-)

Were · Добавлено: Ср Авг 08, 2007 6:04 pm

Вскрытие покажет, главное чистосердечное добровольное признание )

Вася Пупкин^s · Добавлено: Ср Авг 08, 2007 8:23 pm

Мне тут ещё сказали, что проще всего отслеживать протоколы более высокого уровня. Многие из них хранят в себе фактические IP машин, например, протокол ICQ, CS, хотя может и не так.

Fly · admin

Цитата:

Опять же, NAT-компутер может менять пакеты, и ставить внутрь рандомный таймстамп, что приводит к невозможности отработки столь простой математики

сам факт такого поведения уже является поводом особо обратить внимание на этот компутер, то есть поведения заведомо проигрышное.

Muzzdiez · Добавлено: Чт Авг 23, 2007 2:34 pm

оффтоп:

Smolny:

десткое порно.

оффтоп: десткое=жесткое+детское)))

ну вот, раскрыли все секреты обнаружения нелегалов в нашей сетке)) а ведь они воспользуются))

Wonderman · Добавлено: Пт Авг 24, 2007 9:29 pm

Насколько я понял, в рамках более-менее крупной сети (ну тот же свамп, в частности) организовать нелегальный нат можно элементарно = достаточно всего лишь о нём молчать. А анализировать весь траффик, думаю, практически нереально. Много его...

Alleycat · Добавлено: Пт Авг 24, 2007 10:40 pm

Wonderman, весь трафик и не надо анализировать

Llama · председатель АС

Wonderman:

А анализировать весь траффик, думаю, практически нереально. Много его...

Не так уж и много. По крайней мере у нас трафик на гигабитный порт зеркалируется без проблем. Просто нужно фильтры нормально настроить, например битл по вечерам генерирует до 50% всего сетевого трафика, а исходящие от него (как и от остальных серверов) пакеты можно смело исключить из рассмотрения. И так далее, отсеивается 90-95% трафика. Вся фишка в том, что самый "тяжёлый" трафик - файловый - большого интереса для анализа не представляет. Палятся все на тех пяти процентах трафика, которые не файлы, но без которых в сети не прожить.

В сетях большого масштаба тоже всё несложно - там это можно делать на сегментном маршрутизаторе, а дальше всё как у нас.