Forum Debian Users Gang

w pppoe nie masz pod co sie podszywac ;] masz login i pass i wsio ;] podsłuchac raczej sie tego nie da.

mam pytanko, w jaki sposob mozna sprawdzic czy ktos przypadkiem nie porzyczyl (lekko mowiac) mojego maca i ip ??

no z tego co mi wiadomo to net i siec WOGOLE nie dziala w tym rzecz, ze mialem juz taki przypadek, ze po kilka godzin wogole nie mialem neta ani pod syfem bila ani po Pingwinem. mam radiowke i co za tym poszlo...
zmienialem nawet anteny i lipa tez byla. a co najleprze to pod netstumblerem pakiety odbiorcze z AP mialem na jednej anteni i na drugiej. myslalem ze karta poszla, wytargalem ja za bebechy i poszedlem do qmpla i co ... lipa, no sobie pomyslalem no to pieknie karta ma niecale  4miechy i juz sie poszla pasc. no ale  nie dalem za wygrana. wsadzilem ja spowrotem uruchjamiam Linuxa i o dziwo zaczela dzialac. pozniej musialem lina ponownie uruchomic i znowu niespodziewanka, ZONK nie dziala i tak mialem. wiec jestem ciekaw czy jest jakis sposob na wykrycie delikwenta i ewentualne pewne potraktownie go z pewnym rozmachem :]

P.S
wow, ale sie rozpisalem :]

13. Jak wykryć udostępnianie łącza przez któregoś z użytkowników?

Po pierwsze zastanów się nad podzieleniem przepustowości łącza równo pomiędzy wszystkich użytkowników. Wtedy nie będzie Cię martwić jeśli któryś z nich oddaje część łącza sąsiadowi, ponieważ nie będzie to miało wpływu na jakość działania sieci. Może wprowadzić opłaty zależne od dostępnej przepustowości?

Po drugie: zainteresuj się wartościami TTL pakietów pochodzących z "podejrzanej" końcówki. Linux daje standardowo ttl=64, Windows 98 ttl=128. Nie zdziw się jednak jeśli zobaczysz, że końcówka wysyła pakiety o rosnących TTLach, poczynając od 1(2?). Oznacza to, że z tej końcówki został uruchomiony traceroute/tracert. Można również w Linuksie zmienić wartość ttl w wychodzących pakietach. Czy w Windows też się da, nie wiem.

Hint 1: aby sprawdzić wartości TTL pakietów zainteresuj się programem tcpdump, oraz jego dokumentacją, żeby być w stanie zbudować odpowiedni filtr. Jeśli dana końcówka rozdziela łącze, (i nie robił tego człowiek zbyt światły) są szanse, że TTLe będą o 1 niższe od wartości standardowych, np. ttl=63 dla Linuksa. Uwaga: dziwny ttl, nie jest żadnym dowodem, jedynie może wzbudzać "uzasadnione podejrzenia".

Hint 2: możesz nieco utrudnić (ale nie myśl, że uniemożliwić!) dzielenie łącza przez userów, ustawiając TTL pakietów wychodzących do LAN na 1. Lameria stawiająca router linuksowy step-by-step wg. jakiegos poradnika, się na tym wyłoży, nie będzie to stanowiło jednak żadnego problemu dla ludzi wiedzących co to tcpdump.

Hint 3: Istnieje program p0f, służący do pasywnej identyfikacji systemu operacyjnego, przy czym radzi sobie również z hostami za routerem (maskaradą). Jeżeli odpalony na kilka minut na bramie wskazuje różne systemy operacyjne wychodzące spod jednego IP, to mamy podejrzanego.

Hint 4: Powstał kolejny program do wykrywania NATu: natdet, do pobrania ze strony autora.

Po trzecie: Popatrz z jakich portów wychodzą połączenia z "podejrzanej" końcówki. Jeśli są to porty bardzo wysokie (61000 - 65096), to możesz podejrzewać maskaradę zrobioną na Linuksie z jądrem serii 2.2.x. Jądra 2.4.x używają dla maskarady tych samych portów co do normalnych transmisji, więc tak ich nie wykryjesz. W 2.2.x daje się przestawić maskaradę na niższe porty. [FIXME: czy jest prawdą, że 2.2.x traktują przedział portów dla maskarady w jakiś dziwaczny sposób, w związku z czym, przeniesienie ich w dół do 1024 powoduje problemy? A może się mi coś ubzdurało? - Tomek]

Po czwarte: Możesz sprawdzić, czy z tej końcówki nie są generowane na przemiennie zapytania HTTP z różnymi wartościami User-Agent. UWAGA: Wykonując poniższe czynności łamiesz zasadę prywatności użytkowników. [FIXME: czy to prawda co teraz napiszę?] Możesz być za to ciągany po sądach. Dobra, do rzeczy: uruchom sniffera http [nie podaję jakiego, jeśli nie jesteś w stanie sobie znaleźć, nie jesteś również kompetenty by go używać!] i sprawdzaj zawartość pola odpowiadającego za User-Agent. Jeśli zauważysz, że użytkownik używa NARAZ dwóch systemów operacyjnych to masz "podejrzanego". Uwaga: Niektóre kiepsko napisane programy np. Gadu-Gadu źle ustawiają typ systemu w polu User-Agent. Widziałem już taki przypadek, że GG uruchomione na W98 ustawiało User-Agent na MSIE odpalone spod Win-NT!

Po piąte: sprawdź, czy komputer podejrzanego ma włączony ip_forwarding. U siebie:

# route add -net 1.2.3.0/24 gw podejrzany_ip eth0
# ping 1.2.3.4

A na drugiej konsoli:

# tcpdump -n -i eth0
00:59:47:270862 > v.w.y.z > 1.2.3.4: icmp: echo reqest
00:59:47:271276 < v.w.y.z > 1.2.3.4: icmp: echo request

No proszę... podejrzany przekazał pakiet na swoją trasę domyślną, czyli do Ciebie ;> Jeśli już wiesz, że ma ip_forwarding, możesz spróbować dowiedzieć się jaki wybrał adres podsieci. Można to zrobić podobnie jak poprzednio, np.:

# route add -net 10.1.1.0/24 gw podejrzany eth0
# ping 10.1.1.1

albo lepiej 10.1.1.255. [FIXME: jakoś nie zauważyłem, żeby windows odpowiadał na ping wysłany na adres rozgłoszeniowy, ale może coś źle robie... - Tomek]

Jeśli 10.1.1.0/24 nie jest jego siecią, stanie się to samo co poprzednio, jeśli jest, dostaniesz albo icmp echo reply (jeśli trafiłeś w działającego hosta) albo icmp host unreachable. (jeśli nie ma takiego hosta).

[FIXME: Jeśli ktoś ma doświadczenie co do działania udostępniania pod Windowsem i przede wszystkim wykrywania tego, to proszę o kontakt. Jak to działa: proxy czy nat?? jakie to ma cechy charakterystyczne? - Tomek]

[/quote]

---

Pozdrawiam