|
Podbijanie TTL w Tomato
|
| eRd |
Dodano 21-03-2007 13:57
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Powiedzcie mi czy opcja zmiany TTL z okna przegladarki Advanced=>Conntrack/netfilter dziala na pakiety przychodzace, czy wychodzace? Chcialbym za pomoca tego narzedzia wyeliminowac mozliwe dzielenie lacza dalej bez mojej wiedzy (pomijam urzadzenia pozwalajace na ponowne podbicie). W ktora strone powinienem sie kierowac? w ta z minusem? (a wartosci z plusem gdyby np ISP blokowal dzielenie netu?). Pytanie proste moze ale to co jest w dziale Open nie odnosi sie dokladnie do Tomato. Pozdrawiam |
| |
|
|
| robsonn |
Dodano 21-03-2007 14:49
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
Jesli chodzi o Tomato to zwiększa/zmniejsza TTL w obu kierunkach. Dane przychodzące jak i wychodzące maskując tym samym niejako obecność routera.
Jesli chcesz zablokować dalsze dzielenie dla laików (bo jak wiadomo można podbijać ponownie TTL, ale trzeba router postawić albo używać alter. softu) to musisz ustawić TTL pakietów przychodzących na 1.
Masz tęfunkcję zaimplementowaną w generatorze skryptów (Krok 2) - zablokuj możliwość dzielenia łącza przez userów... Nie musisz przy tym generować skryptu do podziału pasma. Wystarczy, że po ustawieniu Kroku 2, wejdziesz na Krok 3 i naciśniesz generuj 
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| eRd |
Dodano 21-03-2007 15:46
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
czyli rozumiem ze jak wygeneruje ten skrypt za pomoca Twojego generatora to bedzie to ta funkcja jakiej potrzebuje, czyli zmieni TTL na 1 dla polaczen przychodzacych, ten skrypt musze przekopiowac do firewalla tak? a co w takim razie dzieje sie gdy z przegladarki ustawie w Tomato TTL na +1, czy wtedy automatycznie ustawia takie TTL dla polaczen zarowno przychodzacych jak i wychodzacych ?
i jeszcze jedno, czy jezeli w tym momencie mam ustawione na TTL 0 to znaczy ze ISP widzi ze mam za routerem iles kompow? Co zrobic zeby to ukryc, przestawic na +1?
Jak pinguje serwer ISP (z zewnatrz) to TTL jest 58, jak swoje ip (z WRT ustawionym na TTL 0) to TTL jest 57, czy to jest tak jakby byl podlaczony jeden komp bezposrednio do modemu?
Edytowany przez eRd dnia 21-03-2007 16:19
|
| |
|
|
| robsonn |
Dodano 22-03-2007 01:13
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
Cytat eRd napisał/a:
czyli rozumiem ze jak wygeneruje ten skrypt za pomoca Twojego generatora to bedzie to ta funkcja jakiej potrzebuje, czyli zmieni TTL na 1 dla polaczen przychodzacych, ten skrypt musze przekopiowac do firewalla tak?
Tak i Tak
Cytat a co w takim razie dzieje sie gdy z przegladarki ustawie w Tomato TTL na +1, czy wtedy automatycznie ustawia takie TTL dla polaczen zarowno przychodzacych jak i wychodzacych ?
Tak, zgadza się.
Cytat i jeszcze jedno, czy jezeli w tym momencie mam ustawione na TTL 0 to znaczy ze ISP widzi ze mam za routerem iles kompow? Co zrobic zeby to ukryc, przestawic na +1?
Nie da się tego ukryć. Żadne zmiany TTL nie ukryją tego, że postawiłeś NATa i tworzysz nową podsieć. Wszystko idzie wykryć - zależy to tylko od admina i czy dbają o klientów (bo jeśli tak to dadzą ci spokój żebyś nie przeszedł do konkurencji). Podbijanie TTL o 1 przydaje się tylko jeśli Twój ISP blokuje lub przepuszcza pakiety tylko o określonym TTL.
Cytat Jak pinguje serwer ISP (z zewnatrz) to TTL jest 58, jak swoje ip (z WRT ustawionym na TTL 0) to TTL jest 57, czy to jest tak jakby byl podlaczony jeden komp bezposrednio do modemu?
TTL nie ma nic wspólnego z liczbą kompów podłączonych za routerem. Pełni zgoła odmienną funkcję.
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| eRd |
Dodano 24-03-2007 02:08
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
to teraz jestem na takim etapie, przeszedlem z tomato 1.05 na 1.06, wszystko ustawilem, wygenerowalem sam skrypt do blokowania dalszego podzialu, wklejam go w firewall, save'uje, robie reboot i na kompie za di-604(ktory jest miedzy kompem a WRT) internet smiga, probowalem tez wklejac ten skrypt w init i tez klapa. Co robie nie tak, bo nie sadze zeby ten dlink potrafil podbijac TTL chyba, ze sie myle. Jestem w posiadaniu tego dlinka, dlatego pozwolilem sobie testowac jak sie to bedzie zachowywac.
jest godzina 3:52, otoz znalazlem rozwiazanie
w Twoim skrypcie jest na koncu jedynka po wygenerowaniu, ale przy tym skrypcie na kompie za wrt i za dlinkiem net dziala, po zmianie wartosci na 0, net dziala jedynie po podlaczeniu kompa bezposrednio do wrt B) Wlasciwie nie wiem dlaczego tak jest ale najwazniejsze ze dziala (p.s. w pierwszym przypadku(wartosc 1) ping z kompa na wrt byl z TTL=0, a i tak net dzialal, w przypadku drugim(wartosc 0) pakiety zwyczajnie nie dochodzily czyli ok)
P.S.
jutro najwyzszy czas zabrac sie za Quality of Service
Edytowany przez eRd dnia 24-03-2007 03:56
|
| |
|
|
| RoboD |
Dodano 24-03-2007 18:24
|
User
Posty: 13
Dołączył: 08/03/2007 13:55
|
Cytat robsonn napisał/a:
Nie da się tego ukryć. Żadne zmiany TTL nie ukryją tego, że postawiłeś NATa i tworzysz nową podsieć. Wszystko idzie wykryć
Nadmienię, że nie jestem specem od sieci, ale jakiś czas temu dość dużo naczytałem się o wykrywaniu podziału internetu i wnioski jakie z tego wyciągnąłem są takie, że admin może co najwyżej podejrzewać dzielenie łącza. Nie jest w stanie udowodnić podziału w 100%.
Cisco EPC3008 @ Linksys WRT54-GL @ Tomato
|
| |
|
|
| robsonn |
Dodano 25-03-2007 13:29
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
Cytat RoboD napisał/a:
... i wnioski jakie z tego wyciągnąłem są takie, że admin może co najwyżej podejrzewać dzielenie łącza. Nie jest w stanie udowodnić podziału w 100%.
DObry admin (nawet ni e tak bardzo) może ci udowodnić dzielenie w 110%. Jest wiele technik służących do wykrywania NATu i kompów za nim. Byłby w stanie uzyskać nawet info o systemach itd. używanych natych kompach także nie ma rady To, że się w takie rzeczy nie bawią to wyłącznie sprawa pieniędzy. Nikt nie brałby usług w sieci, w której jest cały czas śledzony i karany za wszystko np. dzielenie poza lokal. A tak płacisz regularnie abo - ich nie interesuje co ty i jak dzielisz, a oni mają spokój i siano 
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| RoboD |
Dodano 25-03-2007 17:00
|
User
Posty: 13
Dołączył: 08/03/2007 13:55
|
Cytat robsonn napisał/a: DObry admin (nawet ni e tak bardzo) może ci udowodnić dzielenie w 110%. Jest wiele technik służących do wykrywania NATu i kompów za nim.
Powoli, powoli... jak pisałem, nie będę wnikał jakimi środkai można wykryć i jakimi można się ukryć, ponieważ w temacie jestem za cienki. Ty, jako spacjalista od sieci znasz zapewne postać Łukasza Bromirskiego (oczywiście nie osobiscie, choć może...). Jeśli nie, to tu jest jego strona http://mr0vka.eu.org/, na kótrej można poczytać o autorze i jego projektach. Liczne wypowiedzi tegoż Pana można też zobaczyć na grupie dyskusyjnej pl.comp.networking... Oto co pisze w jedym z postów, podsumowując swoją wypowiedź w temacie wykrywania maskarady:
Cytat ...Dobrze zrobiony NAT jest nie do wykrycia.
Ja uważam go za fachowca pierwszej wody, więc... B)
Konkluzją jest, że potencjalny wykrywajacy i potencjanly wykrywany będą mieli tyle szans, na ile pozwala im posiadana wiedza, przy czym jeśli spotka sie dwóch kozaków wygra ten ukrywajacy się.
Cisco EPC3008 @ Linksys WRT54-GL @ Tomato
|
| |
|
|
| omegaxx |
Dodano 26-03-2007 09:13
|
User
Posty: 66
Dołączył: 22/01/2007 13:23
|
co do Di-604 i wszystkich routerów dedykowanych pod "kablówkę" już dawno ich softy automatycznie podbijają TTL, więc ten sposób zabezpieczenia przy tym routerze możesz sobie darować....
Pozdrawiam
|
| |
|
|
| eRd |
Dodano 26-03-2007 21:41
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Cytat omegaxx napisał/a:
co do Di-604 i wszystkich routerów dedykowanych pod "kablówkę" już dawno ich softy automatycznie podbijają TTL, więc ten sposób zabezpieczenia przy tym routerze możesz sobie darować....
wiec podaj inny/lepszy sposob, tworzac taka regule z ttl mam swiadomosc, ze ktos z minimalnym pojeciem to obejdzie, ale jesli masz lepszy pomysl to sie nim podziec  |
| |
|
|
| robsonn |
Dodano 28-03-2007 11:00
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
omegaxx pierwsze słycze, żeby routery budżetowe tupu di-604 za 80PLN podbijały same TTL. Żaden router nie podbija tylko zmniejsza o 1 TTL gdy pakiety przechodzą przez niego.
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| eRd |
Dodano 28-03-2007 11:54
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Cytat robsonn napisał/a:
omegaxx pierwsze słycze, żeby routery budżetowe tupu di-604 za 80PLN podbijały same TTL. Żaden router nie podbija tylko zmniejsza o 1 TTL gdy pakiety przechodzą przez niego.
otoz to robsonn wiem to na wlasnej skorze, bo wlasnie na di-604 to testowalem i jak wiekszosc tanich routerow jedyne co zrobil to wlasnie zmniejszyl TTL o 1 a nie sadze zeby komus chcialo sie wydawac wiecej na lepszy router |
| |
|
|
| omegaxx |
Dodano 30-03-2007 13:57
|
User
Posty: 66
Dołączył: 22/01/2007 13:23
|
nie chce mi sie szukac wiecej modeli ale tu przykład
http://www.asmax.pl/produkty/pokaz/acro/router_asmax_br-604
tani , chyba najtanszy z ich oferty, dlink 604 z najnowszym softem z 2005r robi dokładnie to samo, używałem kiedys kablówki wiec mam to przerobione, nie mówiąc o udostępnianiu połączenia internetowego w Xp, wogule kładzie la..chę na TTL
Edytowany przez omegaxx dnia 30-03-2007 14:13
Pozdrawiam
|
| |
|
|
| mescator |
Dodano 30-03-2007 19:06
|
Super User
Posty: 430
Dołączył: 27/09/2006 18:10
|
nie wiem czego sie czepiacie, kazde urzadzenie sieciowe warstwy 3-ciej ma obowiazek obnizac TTL o jeden przy przechodzeniu przez niego pakietu. Taka jest definicja / zasada dzialania protokolu IP. Jesli chcemy robic sztuczki z TTL to zawsze robimy to w jakims celu tak z jednej jak i z drugiej strony. Ocena tanich urzadzen pod tym katem nie ma sensu, bo robią dokladnie to co mają robic.
---
Asus RT-16N 1.28.0000 MIPSR2-101 K26 USB VPN
WRT54Gv3.1/ 1.28.0005 099V ND VPN
|
| |
|
|
| SlyT |
Dodano 30-03-2007 23:53
|
Power User
Posty: 366
Dołączył: 15/09/2006 23:44
|
Cytat robsonn napisał/a:
omegaxx pierwsze słycze, żeby routery budżetowe tupu di-604 za 80PLN podbijały same TTL. Żaden router nie podbija tylko zmniejsza o 1 TTL gdy pakiety przechodzą przez niego.
Nie masz racji robson. Jako pierwszy taki myk (TTL +1) wprowadzil planet w modelu zdaje sie xwt-401 juz dwa lata temu. Wtedy taki sprzet kosztowal 140 zl. Pozniej dolaczyl do niego asmax a teraz to juz sie nie orientuje.
@mescator
Takie obnizanie TTL wynika z zamiaru unikniecia (w przypatku petli routingu) pakietow krazacych w nieskonczonosc w sieci.
Edytowany przez SlyT dnia 30-03-2007 23:56
Linksys E2000 Tomato 1.28 shibby's compilation
Linksys EA6700 FreshTomato
|
| |
|
|
| mescator |
Dodano 01-04-2007 19:29
|
Super User
Posty: 430
Dołączył: 27/09/2006 18:10
|
@SlyT, tak i nie. Tak, to jedno z zastosowan. Nie, nie tylko to bylo przyczyna wprowadzenia TTL do naglowka IP. Polecam analize bliźniaczego ICMP i kilku RFC ;-)
Co do swojej wypowiedzi nie zmienie zdania, tanie rutery robia to co maja robic urzadzenia warstwy 3. Inne zachowania sa niezgodne z RFC aczkolwiek pozyteczne w niektorych przypadkach.
---
Asus RT-16N 1.28.0000 MIPSR2-101 K26 USB VPN
WRT54Gv3.1/ 1.28.0005 099V ND VPN
|
| |
|
|
| omegaxx |
Dodano 02-04-2007 12:42
|
User
Posty: 66
Dołączył: 22/01/2007 13:23
|
Mescator chyba nie zrozumiales tematu , nie chodzi o to jak to sie ma w specyfikacji, i po co wogóle jest TTL, a o uzycie tego parametru do zabezpieczenia sieci przed dalszym rozprowadzaniem neta. Polega to na tym że wszystkie pakiety opuszczające router po stronie LAN ustawiasz z TTL=1. Żeby obejść takie zabezpieczenie trzeba mieci sprzecik który sztucznie podniesie TTL+1 lub jak komu wygodnie...i o tym dyskutujemy...
B)
Pozdrawiam
|
| |
|
|
| mescator |
Dodano 02-04-2007 19:27
|
Super User
Posty: 430
Dołączył: 27/09/2006 18:10
|
;-) wiem o czym jest temat, ale sie czepiacie tanich urzadzen i spodziewacie czegos, czego nikt w nich nie bedzie implementowal, bo sa TANIE, bo zrobiono wszystko, zeby ich cena byla niska, czyli zaimplementowano absolutne minimum, zeby byly zgodne z RFC i tyle. chcecie TTL+1, nie ma sprawy, ale trzeba doplacic ;-)
--
juz sie nie bede czepial Was ;-)
Edytowany przez mescator dnia 02-04-2007 19:46
---
Asus RT-16N 1.28.0000 MIPSR2-101 K26 USB VPN
WRT54Gv3.1/ 1.28.0005 099V ND VPN
|
| |
|
' target='_blank'>Link
