Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2005-09-14 18:50:55

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Jak wykryć nielegalne dzielenie lącza?

w pppoe nie masz pod co sie podszywac ;] masz login i pass i wsio ;] podsłuchac raczej sie tego nie da.


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#27  2005-09-14 19:42:36

  rogos - Moderator

rogos
Moderator
Zarejestrowany: 2005-02-12

Re: Jak wykryć nielegalne dzielenie lącza?

ale to nie przeszkodzi w dzieleniu lacza :) tylko w podszywaniu sie...


[img]http://img88.imageshack.us/img88/1856/imageslg0.png[/img]

Offline

 

#28  2005-09-16 21:40:40

  jezoo - Dzięcioł

jezoo
Dzięcioł
Skąd: Z lasu
Zarejestrowany: 2005-09-02

Re: Jak wykryć nielegalne dzielenie lącza?

mam pytanko, w jaki sposob mozna sprawdzic czy ktos przypadkiem nie porzyczyl (lekko mowiac) mojego maca i ip ??


[img]http://intershock.pl/images/icons/freebsd.jpg[/img] [img]http://www.the-eleven.com/site_media/static/img/postgresql_powered.png[/img] [img]http://www.wwgmc.com/images/badge_php.gif[/img]
LRU #480459

Offline

 

#29  2005-09-16 21:43:29

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Jak wykryć nielegalne dzielenie lącza?

no na pewno Ci net bedzie wolniej chodzil, jesli kozystasz z linuxa to moze w logach Ci sie cos bedzie pojawialo ale nie testowalam nie wiem
w sumie ciekawa sprawa :]


[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#30  2005-09-16 21:53:23

  jezoo - Dzięcioł

jezoo
Dzięcioł
Skąd: Z lasu
Zarejestrowany: 2005-09-02

Re: Jak wykryć nielegalne dzielenie lącza?

no z tego co mi wiadomo to net i siec WOGOLE nie dziala w tym rzecz, ze mialem juz taki przypadek, ze po kilka godzin wogole nie mialem neta ani pod syfem bila ani po Pingwinem. mam radiowke i co za tym poszlo...
zmienialem nawet anteny i lipa tez byla. a co najleprze to pod netstumblerem pakiety odbiorcze z AP mialem na jednej anteni i na drugiej. myslalem ze karta poszla, wytargalem ja za bebechy i poszedlem do qmpla i co ... lipa, no sobie pomyslalem no to pieknie karta ma niecale  4miechy i juz sie poszla pasc. no ale  nie dalem za wygrana. wsadzilem ja spowrotem uruchjamiam Linuxa i o dziwo zaczela dzialac. pozniej musialem lina ponownie uruchomic i znowu niespodziewanka, ZONK nie dziala i tak mialem. wiec jestem ciekaw czy jest jakis sposob na wykrycie delikwenta i ewentualne pewne potraktownie go z pewnym rozmachem :]

P.S
wow, ale sie rozpisalem :]


[img]http://intershock.pl/images/icons/freebsd.jpg[/img] [img]http://www.the-eleven.com/site_media/static/img/postgresql_powered.png[/img] [img]http://www.wwgmc.com/images/badge_php.gif[/img]
LRU #480459

Offline

 

#31  2005-09-17 11:38:26

  TuRKiN88 - Członek DUG

TuRKiN88
Członek DUG
Skąd: Korzenna
Zarejestrowany: 2005-01-09
Serwis

Re: Jak wykryć nielegalne dzielenie lącza?

Witam.
jezoo--ja miałem ciekawą rzecz:tez myślałęm że ktos coś odwala jakąs manianę.ale opiszę:wiesz pięknego wieczorka gadam z kumpela z sieci na gg.umawiamy sie na zakupy do kraka.umówiliśmy sie i nagle ona zniknęła.pomyślałem ze sie rozłaczyła.rano sie z nią spotykam a ona do mnie ze nie ma neta(u mnie na sieci wszystkie urządzenia działały).ale spox.powiedziałem że moze stery poszły lub cos.ale wracam z kraka a tu jeden tel drugi tel. że nie ma neta.ja już podkur.... co jest do brata dzwonie jest net??i tu o dziwo działa.przyjechałem zaraz laptopka i pod sieć.odpalam netstubler i oki.jest sygnał.prubuję sie łaczyc ---beret.nie moze sie połączyć.no to dawaj pod sam nadajnik i tu o dziwo sie łączy.no to spox.anetny poszły.wymieniłem anteny.i dalej to samo.raz net jest a za godzinę znów beret.no to kable.to samo.wkońcu miałem gdzieś starego wapa ale działającego.wymieniłem.no i poszło.wróciłem do starych anten i ok.wiec dawaj wapy na servis.i sie okazzło ze padłyyyy.sam nie wiem jakim cudem.i co najgorsze na servisie tez sa w szoku.bo bardzo blisko wapa sie łaczy w sumie normalnie.ale zauważyłem pewną rzecz że jak sie połaczyłem to synał skakał jak porąbany.a na dobrym wapie sygnał jest w miarę stabilny.wiec oki.pozatym jak te zepsute wapy połaczyłem w bidge to sie łączyły ale pigni to tragedia.
Wiec sprawdź sobie wapy.ja ten przypadek miałem na WAP-4000 v2 PLANET'a.
Pozdrawiam


Tomasz TuRKiN88 Turek

Offline

 

#32  2005-10-01 11:56:10

  korbol - Członek DUG

korbol
Członek DUG
Zarejestrowany: 2005-04-29

Re: Jak wykryć nielegalne dzielenie lącza?

13. Jak wykryć udostępnianie łącza przez któregoś z użytkowników?

Po pierwsze zastanów się nad podzieleniem przepustowości łącza równo pomiędzy wszystkich użytkowników. Wtedy nie będzie Cię martwić jeśli któryś z nich oddaje część łącza sąsiadowi, ponieważ nie będzie to miało wpływu na jakość działania sieci. Może wprowadzić opłaty zależne od dostępnej przepustowości?

Po drugie: zainteresuj się wartościami TTL pakietów pochodzących z "podejrzanej" końcówki. Linux daje standardowo ttl=64, Windows 98 ttl=128. Nie zdziw się jednak jeśli zobaczysz, że końcówka wysyła pakiety o rosnących TTLach, poczynając od 1(2?). Oznacza to, że z tej końcówki został uruchomiony traceroute/tracert. Można również w Linuksie zmienić wartość ttl w wychodzących pakietach. Czy w Windows też się da, nie wiem.

Hint 1: aby sprawdzić wartości TTL pakietów zainteresuj się programem tcpdump, oraz jego dokumentacją, żeby być w stanie zbudować odpowiedni filtr. Jeśli dana końcówka rozdziela łącze, (i nie robił tego człowiek zbyt światły) są szanse, że TTLe będą o 1 niższe od wartości standardowych, np. ttl=63 dla Linuksa. Uwaga: dziwny ttl, nie jest żadnym dowodem, jedynie może wzbudzać "uzasadnione podejrzenia".

Hint 2: możesz nieco utrudnić (ale nie myśl, że uniemożliwić!) dzielenie łącza przez userów, ustawiając TTL pakietów wychodzących do LAN na 1. Lameria stawiająca router linuksowy step-by-step wg. jakiegos poradnika, się na tym wyłoży, nie będzie to stanowiło jednak żadnego problemu dla ludzi wiedzących co to tcpdump.

Hint 3: Istnieje program p0f, służący do pasywnej identyfikacji systemu operacyjnego, przy czym radzi sobie również z hostami za routerem (maskaradą). Jeżeli odpalony na kilka minut na bramie wskazuje różne systemy operacyjne wychodzące spod jednego IP, to mamy podejrzanego.

Hint 4: Powstał kolejny program do wykrywania NATu: natdet, do pobrania ze strony autora.

Po trzecie: Popatrz z jakich portów wychodzą połączenia z "podejrzanej" końcówki. Jeśli są to porty bardzo wysokie (61000 - 65096), to możesz podejrzewać maskaradę zrobioną na Linuksie z jądrem serii 2.2.x. Jądra 2.4.x używają dla maskarady tych samych portów co do normalnych transmisji, więc tak ich nie wykryjesz. W 2.2.x daje się przestawić maskaradę na niższe porty. [FIXME: czy jest prawdą, że 2.2.x traktują przedział portów dla maskarady w jakiś dziwaczny sposób, w związku z czym, przeniesienie ich w dół do 1024 powoduje problemy? A może się mi coś ubzdurało? - Tomek]

Po czwarte: Możesz sprawdzić, czy z tej końcówki nie są generowane na przemiennie zapytania HTTP z różnymi wartościami User-Agent. UWAGA: Wykonując poniższe czynności łamiesz zasadę prywatności użytkowników. [FIXME: czy to prawda co teraz napiszę?] Możesz być za to ciągany po sądach. Dobra, do rzeczy: uruchom sniffera http [nie podaję jakiego, jeśli nie jesteś w stanie sobie znaleźć, nie jesteś również kompetenty by go używać!] i sprawdzaj zawartość pola odpowiadającego za User-Agent. Jeśli zauważysz, że użytkownik używa NARAZ dwóch systemów operacyjnych to masz "podejrzanego". Uwaga: Niektóre kiepsko napisane programy np. Gadu-Gadu źle ustawiają typ systemu w polu User-Agent. Widziałem już taki przypadek, że GG uruchomione na W98 ustawiało User-Agent na MSIE odpalone spod Win-NT!

Po piąte: sprawdź, czy komputer podejrzanego ma włączony ip_forwarding. U siebie:

# route add -net 1.2.3.0/24 gw podejrzany_ip eth0
# ping 1.2.3.4

A na drugiej konsoli:

# tcpdump -n -i eth0
00:59:47:270862 > v.w.y.z > 1.2.3.4: icmp: echo reqest
00:59:47:271276 < v.w.y.z > 1.2.3.4: icmp: echo request

No proszę... podejrzany przekazał pakiet na swoją trasę domyślną, czyli do Ciebie ;> Jeśli już wiesz, że ma ip_forwarding, możesz spróbować dowiedzieć się jaki wybrał adres podsieci. Można to zrobić podobnie jak poprzednio, np.:

# route add -net 10.1.1.0/24 gw podejrzany eth0
# ping 10.1.1.1

albo lepiej 10.1.1.255. [FIXME: jakoś nie zauważyłem, żeby windows odpowiadał na ping wysłany na adres rozgłoszeniowy, ale może coś źle robie... - Tomek]

Jeśli 10.1.1.0/24 nie jest jego siecią, stanie się to samo co poprzednio, jeśli jest, dostaniesz albo icmp echo reply (jeśli trafiłeś w działającego hosta) albo icmp host unreachable. (jeśli nie ma takiego hosta).

[FIXME: Jeśli ktoś ma doświadczenie co do działania udostępniania pod Windowsem i przede wszystkim wykrywania tego, to proszę o kontakt. Jak to działa: proxy czy nat?? jakie to ma cechy charakterystyczne? - Tomek]

[/quote]


Pozdrawiam

Offline

 

#33  2005-10-01 18:25:37

  korbol - Członek DUG

korbol
Członek DUG
Zarejestrowany: 2005-04-29

Re: Jak wykryć nielegalne dzielenie lącza?

Jeszce dopisze takie pytanie:
Na routerze mozna postawić jakiś filtr aby sprawdzał jak to gdzies wyczytalem "ramke rozpoznawczą" tzn jezeli pakiet nie pochodzi z routera tylko z kompa ktoremu sie udostepnielo net i i jezlei mu nie pasi ta ramka to netu brak(nie hcodzi tu o ttl'a)
1) Co dokładnie sprawdza ten filtr
2)Jak sie nazywa taki filtr lub coś podobnego a moze jest to net filterze?
3)Jak to ominąć?:D:D:D:D


Pozdrawiam

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00076 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.253.199' WHERE u.id=1
0.00061 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.219.253.199', 1732824408)
0.00039 SELECT * FROM punbb_online WHERE logged<1732824108
0.00047 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=586 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00333 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=586 ORDER BY p.id LIMIT 25,25
0.00076 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=586
Total query time: 0.00652 s