Maskarada a jeji viditelnost
Patrik Ostrihon
patrik na pa3k.sk
Čtvrtek Červen 17 15:42:47 CEST 1999
On Thu, 17 Jun 1999, Pavel PaJaSoft Janousek wrote:
> Me by zajimalo, jakym zpusobem, pripadne jakymi nastroji je klasicka
> maskarada pres ipchains viditelna zvenku.
>
> Jelikoz temer vsichni ISP maji pro pripojeni lokalni site a lokalniho
> pocitace naprosto jine tarify, divil bych se, pokud by skutecne existoval
> zpusob na odhaleni maskaradovaneho pripojeni, ze by ho jiz davno na svych
> terminal serverech nevyuzili...
>
> Je mozne, ze v te dobe (pouzival se vyhradne ipfwadm) byla v
> implementaci maskarady na Linuxu chyba a maskarada byla skutecne odhalitelna
> nebo jak to s ni vlastne je?
>
> Znam kazdy bit IP i TCP packetu a neni mi jasne, z ktere informace by se
> dalo vycucat, ze je to maskaradovane... a jak by mi to mohl pripadne nekdo
> dokazat, ze prave tento packet byl fyzicky pro pocitac za tim firewallem,
> maskaradou...?
>
No je to mozne velmi jednoducho:
ip_masq.h:#define PORT_MASQ_BEGIN 61000
ip_masq.h:#define PORT_MASQ_END (PORT_MASQ_BEGIN+4096)
To znamena, ze vsetky maskovane spojenia maju ako source port pri
TCP a UDP port medzi 61000 a 65096 co nieje problem detekovat napr pomocou
tcpdump alebo priamo zakazat na firewalle. Pri nemaskovanych spojeniach sa
alokuju porty od 1024, takze pokial je niektore spojenie nadvazovane z
portu v rozsahu 61000 az 65096, je velmi pravdepodobne ze sa jedna o
maskaradu. A pokial z toho pocitaca idu takmer vsetky spojenia z tohoto
rozsahu tak pravdepodobnost ze tento pocitac sluzi na maskaradu je velmi
velka. Ale po malej uprave v jadre to ide skryt :).
pa3k
Další informace o konferenci Linux