Surfer pisze:
Chodziło by mi o jakąś kontrole pakietów przesyłanych przez serwer. Mam zainstalowany arp , justice, i sttatyczne przydzielanie ip (bo te dynamiczne to uważam że jest gorsze bo wystarczy mieć odpowiedni arp i można sie podłączyć). Może jakaś cyfra kontrolna która jest zmieniana przy przechodzeniu przez maskarade ??? Jeśli takowa jest i jest zmieniana ??
Możesz użyć tcpdump do odczytania wartości TTL pakietów przychodzących do serwera na interfejsie ethernetu. Wartość TTL dla stacji na windows powinna mieć 128. Jeżeli stacją roboczą jest linux wartość TTL powinna wynosić 64. Natomiast jeżeli jest więcej komputerów w łańcuszku, wartość TTL będzie zmniejszała się o 1 przy przejściu przez każdą bramkę (nie biorę w LAN pod uwagę czasu) czyli będzie 127, 63. Oczywiście można manipulować wartościami TTL, zarówno na windows jak i w linuxie. Ale wymaga to użycia odrębnych narzędzi dla win (lub edycji rejestru). Także bramkę można zamaskować, jednak raczej tylko za pomocą IPCHAINS lub IPTABLES, więc na Freesco odpada. Możesz także zerknąć do tabelki justice, jeżeli u danego klienta ruch odbywa się cały czas (tylko i wyłącznie) na wysokich portach, oznaczać mogło by to działanie maskarady, i w połączeniu z tcpdump, lub z dowolnym snifferem może zastanowić fakt przesyłania danych HTTP na tak wysokich portach. Oczywiście to mogą być tylko przypuszczenia, nie stanowi to żadnego dowodu i można to łatwo zamaskować.
P.S. Czasem trafiają się pakiety z TTL 127 (testowałem na sobie) które mają uszkodzoną sumę kontrolną, nie należy się tym przejmować
Zaloguj się
Zarejestruj się
FAQ
Szukaj
