форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"можно ли обнаружить masqurade ?"
Сообщение от borisych on 15-Сен-03, 21:02  (MSK)
то есть ситуация такая: в сети есть машина, и возможно она маскарадит свою внутреннюю сеть, а возможно и нет, и нужно узнать это наверняка.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "можно ли обнаружить masqurade ?"
Сообщение от Blc on 15-Сен-03, 21:57  (MSK)
>то есть ситуация такая: >в сети есть машина, и возможно она маскарадит >свою внутреннюю сеть, а возможно и нет, >и нужно узнать это наверняка. Проверяй ttl приходящих с подозреваемой машины пакетов
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "можно ли обнаружить masqurade ?"
	Сообщение от borisych on 15-Сен-03, 22:23  (MSK)
	>Проверяй ttl приходящих с подозреваемой машины пакетов дело в том что это пассивная проверка (кстати я нашел кое-что стоящее : http://lcamtuf.coredump.cx/p0f/) а хотелось бы так, чтобы я захотел и проверил, а не ждал когда мне кто-нибудь что-нибудь пошлет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "можно ли обнаружить masqurade ?"
	Сообщение от borisych on 16-Сен-03, 01:59  (MSK)
	>дело в том что это пассивная проверка >(кстати я нашел кое-что стоящее : >http://lcamtuf.coredump.cx/p0f/) случилась фигня : p0f снифит только tcp, а наиболее используемый сервис - domain (udp)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "можно ли обнаружить masqurade ?"
Сообщение от Antonio on 16-Сен-03, 12:07  (MSK)
>то есть ситуация такая: >в сети есть машина, и возможно она маскарадит >свою внутреннюю сеть, а возможно и нет, >и нужно узнать это наверняка. На форумах IXBT (http://forum.ixbt.com) есть несколько подобных тем, например, "Как не допустить появления прокси второго уровня у себя в сети" (как-то так). Вы можете пройтись там поиском. Метод с TTL не совсем хорош тем, что, в частности, линуксячий файрволл (да и другие, думаю), умеет изменять TTL проходящих пакетов, как будто бы ничего и не было. Предлагаются еще и методы анализа HHTP-запросов на предмет X-Forwarded-For, User-Agent и т.п. Две и более сетевые игры (к примеру, Quake и т.п.) с одной машины крайне подозрительны. Вывод, который сделан на том форуме, примерно таков: Со вероятностью 1 определить наличие NAT или прокси нельзя. Если у "злоумышленника" есть голова, то его не отловить (или пока никто не знает как). P.S. В философские диспуты плана "нормального провайдера наличие NAT или прокси у юзера волновать не должно, все равно оплата идет по трафику", думаю, вдаваться не будем. ;)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "можно ли обнаружить masqurade ?"
	Сообщение от DogEater on 16-Сен-03, 12:53  (MSK)
	есть одна маленькая фишка с машины подключённой напрямую соединения идут с портов 1024 и выше замаскированные пакеты идут с портов более высоких я встречал значения 61000-65000 или 20000-30000
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.