jakie IP lokalne jest za NAT-em

[markossx]

Witam,

mam mały problem; otóż potrzebuję sprawdzić jaki komp z LAN kryje się za publicznym IP czyli za NATem o ile to możliwe w ogółe...?
jeśli tak to zakładam, że należy wgłebić sie w nagłówek pakietu (co robiłem tcpdump, tethereal). widzę tylko adres bramki...



jeśli macie jakieś pomysły to poproszę...

[TQM]

Z natury dzialania NAT, jesli sluchasz po stronie interfejsu zewnetrznego bramki to nie uslyszysz nic wiecej niz jej adres publiczny i bez dostepu do samej bramki (systemu) nie masz mozliwosci sprawdzic z jakiego IP w sieci lokalnej jest polaczenie. Mozesz poprosic admina serwera NAT o zlokalizowanie zrodla ale nie slyszalem o metodzie dzieki ktorej moglbys to sam ustalic.

[markossx]

...

tak czułem ale miałem cichą nadzieję, że po rozłożeniu pakietu 'na czynniki pierwsze' bedzie można to z niego wyciągnąć;

dzięx.
PM.

a jeszcze jedna rzecz mnie nurtuje;
a jeśli jest ktoś za proxy; to wtedy chyba można sprawdzić jego lokalne ip..?
jeśli coś bzdurzę to poproszę o wyjaśnienie...

PM.

[necro]

Moze przydadza ci sie zrodla tych progsow

http://lcamtuf.coredump.cx/p0f.shtml
http://elceef.itsec.pl/natdet/

[TQM]

p0f i natdet sluza do pasywnego fingerprintingu a nie do ustalenia jaki jest adres w sieci za maskarada... p0f jest bardziej uniwersalny moim zdaniem, poza tym napisany przez Michala Zalewskiego :-)

Pasywny fingerprinting to analiza pakietow ktore slychac na laczu bez wysylania czegokolwiek od siebie. Analizujac zawartosc i strukture pakietow mozna sie sporo dowiedziec o zrodle tych pakietow - w tym wypadku analizujac ruch wychodzacy z publicznego IP bramki NAT jestes w stanie stwierdzic czy i nawet ile komputerow jest w tej sieci aktualnie aktywnych. Wszystko dlatego, ze TCP/IP jest niby standardowe ale implementacje sa rozne, rozne sa czasy TTL, bity w naglowkach pakietow i ich struktura w zaleznosci od systemu operacyjnego ktory pakiet stworzyl. NAT podmienia jedynie wartosc pola naglowka nie zmieniajac najczesciej formatu pakietu...

Nadal nie pozwala to jednak na uzyskanie informacji jaki adres w sieci ukrytej za NATem ma dany komputer, choc mozesz okreslic jaki to system operacyjny (czesto bardzo dokladnie) a nawet jakie oprogramowanie na nim dziala.

Polecam dalsza lekture - ksiazka Michala Zalewskiego (autora p0f) 'Cisza w sieci' - kosztuje chyba 34zl o ile pamietam. Fajnie sie ja czyta :-)

[scorn]

192.168.*
10.*
1.*
172.*
127.* :P
no jeszcze pare by sie znalazło... ale chyba i tak uszczupliłem zasób poszukiwań ;-)

[markossx]

...

poszliśmy chyba nie w tę stronę; fingerprinting aplikacji (szczególnie badanie serwerów www i ftp) nie jest mi obcy...
przy okazji poszukiwań natknąłem sie na stronkę net-ip.info gdzie mechanizm pokazuje moje lokalne IP i jeszcze dodatkowy adres (ale nie jest to NAT za którym jestem) więc musi być to proxy! dlatego zapytałem co sie dzieje jeśli połączenie idzie komp.lokalny > NAT > PROXY bo zauważyłem, że mój lokalny adres został rozpoznany przez tę sprytną stronkę... i jedyne co udało mi sie ustalić to może być tak dlatego, że połączenie jest przez proxy (squid: # TAG: forwarded_for on|off
# If set, Squid will include your system's IP address or name
# in the HTTP requests it forwards. By default it looks like
# this: .......................) na microsofcie nie wiem
i wtedy proxy albo maskuje ip albo nie...
czyli pytanie jest jaki mechanizm to sprawdza..?
moze byc zrobione tak ze tylko www idzie przez proxy z pominięciem NAt-a - wtedy to jasne;
ale jesli idzie: nat > proxy to juz ciekawe - ale tak raczej nie jest..?
a tu mi sie jeszcze jedno pytanko zrodziło: jest jakieś narzędzie, (jak traceroute) ale żeby zbadało trasę dla konkretnego protokołu...

pozdrawiam

[markossx]

...

poszliśmy chyba nie w tę stronę; fingerprinting aplikacji (szczególnie badanie serwerów www i ftp) nie jest mi obcy...
przy okazji poszukiwań natknąłem sie na stronkę net-ip.info gdzie mechanizm pokazuje moje lokalne IP i jeszcze dodatkowy adres (ale nie jest to NAT za którym jestem) więc musi być to proxy! dlatego zapytałem co sie dzieje jeśli połączenie idzie komp.lokalny > NAT > PROXY bo zauważyłem, że mój lokalny adres został rozpoznany przez tę sprytną stronkę... i jedyne co udało mi sie ustalić to może być tak dlatego, że połączenie jest przez proxy (squid: # TAG: forwarded_for on|off
# If set, Squid will include your system's IP address or name
# in the HTTP requests it forwards. By default it looks like
# this: .......................) na microsofcie nie wiem
i wtedy proxy albo maskuje ip albo nie...
czyli pytanie jest jaki mechanizm to sprawdza..?
moze byc zrobione tak ze tylko www idzie przez proxy z pominięciem NAt-a - wtedy to jasne;
ale jesli idzie: nat > proxy to juz ciekawe - ale tak raczej nie jest..?
a tu mi sie jeszcze jedno pytanko zrodziło: jest jakieś narzędzie, (jak traceroute) ale żeby zbadało trasę dla konkretnego protokołu...

pozdrawiam

ps.

scorn - o co chodzi z tymi cyferkami

[TQM]

Scorn podal ci pule adresowe uzywane w sieciach LAN ktore nie powinny wydostac sie do internetu - te pule adresowe musza byc za NATem.

Co do pytania o proxy to wszystko bedzie ok i da rade poznac adres w sieci za masakrada, jesli siec LAN ma wlasny serwer proxy z flaga 'forwarded_for on' bo wtedy bedzie to w naglowku. Jesli uzywasz publicznego serwera proxy to forwarded_for bedzie pokazywac adres bramki NAT.

tracerouter zatrzyma sie na bramce NAT, nie dojdzie do kompa w sieci LAN...

Pelna odpowiedz na Twoje pytanie 'czy sie da?' wraz z uzasadnieniem dlaczego sie nie da tak jak bys chcial jest podana w kazdym wyjasnieniu zasad dzialania NAT.

Adresu IP nie poznasz bedac na zewnatrz (poza przypadkiem z proxy na tej samej maszynie co NAT - jak opisano wyzej).

[markossx]

...

jak najbardziej;

a gdyby ktoś myślał, że temat nie jest wyczerapany to zapraszam:

http://www.tech-portal.pl/content/view/29/38/

dzięki pozdrawiam.