Pokaż wyniki 1 do 10 z 10

Temat: jakie IP lokalne jest za NAT-em

  1. #1
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Exclamation jakie IP lokalne jest za NAT-em

    Witam,

    mam mały problem; otóż potrzebuję sprawdzić jaki komp z LAN kryje się za publicznym IP czyli za NATem o ile to możliwe w ogółe...?
    jeśli tak to zakładam, że należy wgłebić sie w nagłówek pakietu (co robiłem tcpdump, tethereal). widzę tylko adres bramki...



    jeśli macie jakieś pomysły to poproszę...

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Z natury dzialania NAT, jesli sluchasz po stronie interfejsu zewnetrznego bramki to nie uslyszysz nic wiecej niz jej adres publiczny i bez dostepu do samej bramki (systemu) nie masz mozliwosci sprawdzic z jakiego IP w sieci lokalnej jest polaczenie. Mozesz poprosic admina serwera NAT o zlokalizowanie zrodla ale nie slyszalem o metodzie dzieki ktorej moglbys to sam ustalic.

  3. #3
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Exclamation a jak jest z proxy...

    ...

    tak czułem ale miałem cichą nadzieję, że po rozłożeniu pakietu 'na czynniki pierwsze' bedzie można to z niego wyciągnąć;

    dzięx.
    PM.

    a jeszcze jedna rzecz mnie nurtuje;
    a jeśli jest ktoś za proxy; to wtedy chyba można sprawdzić jego lokalne ip..?
    jeśli coś bzdurzę to poproszę o wyjaśnienie...

    PM.
    Ostatnio edytowane przez markossx : 11-29-2006 - 11:23 Powód: o proxy

  4. #4

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    p0f i natdet sluza do pasywnego fingerprintingu a nie do ustalenia jaki jest adres w sieci za maskarada... p0f jest bardziej uniwersalny moim zdaniem, poza tym napisany przez Michala Zalewskiego :-)

    Pasywny fingerprinting to analiza pakietow ktore slychac na laczu bez wysylania czegokolwiek od siebie. Analizujac zawartosc i strukture pakietow mozna sie sporo dowiedziec o zrodle tych pakietow - w tym wypadku analizujac ruch wychodzacy z publicznego IP bramki NAT jestes w stanie stwierdzic czy i nawet ile komputerow jest w tej sieci aktualnie aktywnych. Wszystko dlatego, ze TCP/IP jest niby standardowe ale implementacje sa rozne, rozne sa czasy TTL, bity w naglowkach pakietow i ich struktura w zaleznosci od systemu operacyjnego ktory pakiet stworzyl. NAT podmienia jedynie wartosc pola naglowka nie zmieniajac najczesciej formatu pakietu...

    Nadal nie pozwala to jednak na uzyskanie informacji jaki adres w sieci ukrytej za NATem ma dany komputer, choc mozesz okreslic jaki to system operacyjny (czesto bardzo dokladnie) a nawet jakie oprogramowanie na nim dziala.

    Polecam dalsza lekture - ksiazka Michala Zalewskiego (autora p0f) 'Cisza w sieci' - kosztuje chyba 34zl o ile pamietam. Fajnie sie ja czyta :-)

  6. #6

    Domyślnie

    192.168.*
    10.*
    1.*
    172.*
    127.* :P
    no jeszcze pare by sie znalazło... ale chyba i tak uszczupliłem zasób poszukiwań ;-)

  7. #7
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Exclamation a co z tym proxy...

    ...

    poszliśmy chyba nie w tę stronę; fingerprinting aplikacji (szczególnie badanie serwerów www i ftp) nie jest mi obcy...
    przy okazji poszukiwań natknąłem sie na stronkę net-ip.info gdzie mechanizm pokazuje moje lokalne IP i jeszcze dodatkowy adres (ale nie jest to NAT za którym jestem) więc musi być to proxy! dlatego zapytałem co sie dzieje jeśli połączenie idzie komp.lokalny > NAT > PROXY bo zauważyłem, że mój lokalny adres został rozpoznany przez tę sprytną stronkę... i jedyne co udało mi sie ustalić to może być tak dlatego, że połączenie jest przez proxy (squid: # TAG: forwarded_for on|off
    # If set, Squid will include your system's IP address or name
    # in the HTTP requests it forwards. By default it looks like
    # this: .......................) na microsofcie nie wiem
    i wtedy proxy albo maskuje ip albo nie...
    czyli pytanie jest jaki mechanizm to sprawdza..?
    moze byc zrobione tak ze tylko www idzie przez proxy z pominięciem NAt-a - wtedy to jasne;
    ale jesli idzie: nat > proxy to juz ciekawe - ale tak raczej nie jest..?
    a tu mi sie jeszcze jedno pytanko zrodziło: jest jakieś narzędzie, (jak traceroute) ale żeby zbadało trasę dla konkretnego protokołu...

    pozdrawiam
    ***********
    * markossx *
    ***********

  8. #8
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Cytat Napisał markossx
    ...

    poszliśmy chyba nie w tę stronę; fingerprinting aplikacji (szczególnie badanie serwerów www i ftp) nie jest mi obcy...
    przy okazji poszukiwań natknąłem sie na stronkę net-ip.info gdzie mechanizm pokazuje moje lokalne IP i jeszcze dodatkowy adres (ale nie jest to NAT za którym jestem) więc musi być to proxy! dlatego zapytałem co sie dzieje jeśli połączenie idzie komp.lokalny > NAT > PROXY bo zauważyłem, że mój lokalny adres został rozpoznany przez tę sprytną stronkę... i jedyne co udało mi sie ustalić to może być tak dlatego, że połączenie jest przez proxy (squid: # TAG: forwarded_for on|off
    # If set, Squid will include your system's IP address or name
    # in the HTTP requests it forwards. By default it looks like
    # this: .......................) na microsofcie nie wiem
    i wtedy proxy albo maskuje ip albo nie...
    czyli pytanie jest jaki mechanizm to sprawdza..?
    moze byc zrobione tak ze tylko www idzie przez proxy z pominięciem NAt-a - wtedy to jasne;
    ale jesli idzie: nat > proxy to juz ciekawe - ale tak raczej nie jest..?
    a tu mi sie jeszcze jedno pytanko zrodziło: jest jakieś narzędzie, (jak traceroute) ale żeby zbadało trasę dla konkretnego protokołu...

    pozdrawiam
    ps.

    scorn - o co chodzi z tymi cyferkami
    ***********
    * markossx *
    ***********

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Scorn podal ci pule adresowe uzywane w sieciach LAN ktore nie powinny wydostac sie do internetu - te pule adresowe musza byc za NATem.

    Co do pytania o proxy to wszystko bedzie ok i da rade poznac adres w sieci za masakrada, jesli siec LAN ma wlasny serwer proxy z flaga 'forwarded_for on' bo wtedy bedzie to w naglowku. Jesli uzywasz publicznego serwera proxy to forwarded_for bedzie pokazywac adres bramki NAT.

    tracerouter zatrzyma sie na bramce NAT, nie dojdzie do kompa w sieci LAN...

    Pelna odpowiedz na Twoje pytanie 'czy sie da?' wraz z uzasadnieniem dlaczego sie nie da tak jak bys chcial jest podana w kazdym wyjasnieniu zasad dzialania NAT.

    Adresu IP nie poznasz bedac na zewnatrz (poza przypadkiem z proxy na tej samej maszynie co NAT - jak opisano wyzej).

  10. #10
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie rozumiem

    ...

    jak najbardziej;

    a gdyby ktoś myślał, że temat nie jest wyczerapany to zapraszam:

    http://www.tech-portal.pl/content/view/29/38/

    dzięki pozdrawiam.
    ***********
    * markossx *
    ***********

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj