symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Rechnerzählen trotz NAT: Das Ende vieler DSL-Kunden?
Veröffentlicht durch XTaran am Donnerstag 06. Februar, 16:43
Aus der Röntgenbrille Abteilung
Internet Steven M. Bellovin von AT&T Research hat auf dem 2nd Internet Measurement Workshop ein Paper vorgestellt, wie man Rechner hinter einem Gateway mit NAT zählt (PDF und PS). Die Messungen basieren auf dem ID-Feld der IP-Pakete, welches bei fast jeden Betriebssystem nichts anderes als ein fortlaufender Zähler ist. Könnte das das Ende vieler Heimnetzwerke hinter DSL-Leitungen sein? Zumindest in Deutschland beschränken ja die meisten DSL-Provider in den Verträgen die Nutzung auf nur einen Rechner gleichzeitig. (Quelle: Slashdot-Artikel Remotely Counting Machines Behind A NAT Box)

Bellovin erklärt aber auch gleich, wie man NAT modifizieren muß, um dieses Meßverfahren zu behindern. Aber die dazu notwendigen Modifikationen seien nicht trivial. Andererseits zeigen Kommentare bei Slashdot, daß auch die Meßmethode nicht gerade wenig Aufwand braucht und somit es auch nicht so wahrscheinlich ist, daß sie auf breiter Front eingesetzt werden wird.

Kevin Mitnick's Interview auf /. | Druckausgabe | TV-Satelliten rezyklieren  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Slashdot
  • Kommentare bei Slashdot
  • Steven M. Bellovin
  • AT&T Research
  • 2nd Internet Measurement Workshop
  • PDF
  • PS
  • Remotely Counting Machines Behind A NAT Box
  • Mehr zu Internet
  • Auch von XTaran
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Hmm... (Score:1)
    Von tr0nix am Thursday 06. February, 17:14 MEW (#1)
    (User #741 Info) http://www.secuserv.ch
    Ich kann leider das Paper nicht lesen auf dieser WS.. aber meinst du mit ID die ISN (internet sequence number)? Die sollte ja eigentlich nicht vorhersagbar bzw. einfach hochzaehlbar sein da sie sonst IP-spoofing (wenigstens blindes) ermoeglichen wuerde. Wenn ichs richtig im Kopf habe kann man mit nmap diese ja versuchen vorherzusagen und kriegt eine Auswertung wie schwer dies waere (ist glaubs bei der Option dabei wo man versucht das OS rauszufinden)
    Ansonsten schafft sicherlich auch ein Proxy (wie IMHO in allen groesseren Firmen) abhilfe...


    ----------------
    Wer gegen ein Minimum
    Aluminium immun ist, besitzt
    Aluminiumminimumimmunität
    Re: Hmm... (Score:2, Interessant)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 06. February, 17:32 MEW (#3)
    (User #129 Info) http://abe.home.pages.de/
    Gemeint ist die ID im IP-Header, welche notwendig ist, um z.B. fragementierte Pakete wieder korrekt zusammenbauen zu können. Ab Byte 18 im IP-Header wenn ich mich verzählt habe. Und diese Zahlen sind einfach aufsteigend, jedenfalls bei meinem 2.4.18er Linux und laut Ethereal...

    Deswegen auch der Kommentar bei Slashdot: Das kann krachen, wenn zufälligerweise zwei Host hinter dem Gateway fragementierte Pakete mit der gleichen ID versendet haben...

    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re: Hmm... (Score:2)
    Von brummfondel am Thursday 06. February, 18:09 MEW (#5)
    (User #784 Info)
    Wobei es ja auch heißt, daß z.B. *BSD das anders macht. Also wird früher oder später jemand das in den Linux-Code auch aufnehmen.

    Alles in allem ist die Untersuchung jedoch sehr interessant und könnte schon damit ausgehebelt werden, wenn pro Ziel-Host ein eigener Zähler liefe - das schreibt er ja auch selbst. Dadurch würde nämlich die Anzahl der Rechner hinter dem NAT fälschlicherweise ansteigen und damit die Ermittlung hinfällig machen.

    Krachen kann das immer nur dann, wenn die Pakete zur gleichen Zieladresse bzw. von der gleichen Quelladresse kommen: also wenn zwei Rechner hinter dem NAT mit dem gleichen Rechner gleichzeitig reden.

    Wie wärs denn mit der Lösung: im eigenen Netz IPv6 fahren und dann den NAT-Router alles auf v4 bringen lassen - was wird dann mit den Sequenz-Nummern?

    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    Re: Hmm... (Score:1)
    Von tr0nix am Thursday 06. February, 20:17 MEW (#9)
    (User #741 Info) http://www.secuserv.ch
    Mh, eben nicht Sequenz Nummer sondern ID-Feld.. aber irgendwie blick ich immer noch nicht durch. Hat ein fragmentiertes Packet nicht denselben Header wie das erste nur dass das ID-Feld sich unterscheidet? Naja, mal das PDF gut durchlesen ;). Bellovin ist ja bekannt (Firewalls and Internet Security.. mein erstes Buch *schwaerm*)


    ----------------
    Wer gegen ein Minimum
    Aluminium immun ist, besitzt
    Aluminiumminimumimmunität
    Re: Hmm... (Score:2)
    Von brummfondel am Friday 07. February, 00:33 MEW (#14)
    (User #784 Info)
    Mein ich doch, nagel das nicht so an dem Wort fest, nur weil es in dem Artikel ID heißt. Fragment-ID, ok, Segmentnummer wird das bei TCP genannt, aber die Funktionsweise ist ähnlich (nein, nicht wirklich vom Sinn, aber von der Numerierung).

    Aber die ID kann bei einem fragmentierten Paket nicht anders sein, sondern soweit ich das aus dem Kopf weiß, gibt es noch einen weiteren Zähler für die Fragmente, die dann zu dem ID-Paket gehören.
    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    Wo ist das Problem? (Score:1, Tiefsinnig)
    Von Anonymer Feigling am Thursday 06. February, 17:16 MEW (#2)
    Wer sich nicht an die AUP seines Providers haelt, macht sowieso etwas flashc. Es gibt schliesslich viele Provider, die es explizit erlauben, mehrere Rechner an seinem Anschluss zu betreiben.
    Re: Wo ist das Problem? (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Thursday 06. February, 18:35 MEW (#7)
    (User #129 Info) http://abe.home.pages.de/
    Prinzipiell stimme ich Dir zu, nur gibt es in .de nur sehr wenige ADSL-Provider, die das erlauben. In .ch scheint das anders zu sein.

    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re: Wo ist das Problem? (Score:1)
    Von Ventilator (ventilator auf parodia punkt zee haa) am Thursday 06. February, 23:10 MEW (#12)
    (User #22 Info) http://www.mp3.com/bri
    Klar. Zumindest bei der Cablecom liest man auf einer Supports eite: "Wenn Sie bereits ein hispeed 512 Abo nutzen und mehr als 4 Computer gleichzeitig mit dem Internet verbinden möchten, besteht die Möglichkeit, einen Router zwischen Cablemodem und Hub zu schalten."

    Es ist also offiziell erlaubt.
    --
    Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
    .... (Score:2, Tiefsinnig)
    Von Anonymer Feigling am Thursday 06. February, 17:57 MEW (#4)
    Wenn die Provider (vor allem in den USA) beginnen, Netze abzuscannen, werden die Routerhersteller schnell Modelle bringen, die dies nicht mehr zulassen.

    Zumindest in den USA ist der Boom der Router auf den Umstand zurüchzuführen, dass viele Cable Provider (vor allem @home) nur einen PC zuliessen. Man het sogar (extra!) Funktionen wie das Klonen der MAC Addresse eingebaut, da @home die MAC des Kunden erfasste und man nur mit dieser MAC eine IP bekam.
    Re:.... (Score:1)
    Von reto am Thursday 06. February, 18:10 MEW (#6)
    (User #920 Info)
    Irgendwas ähnliches macht die Cablecom auch. Letzte hatten hatte ich bei nem Kollegen folgendes Problem... dhcpcd funktionierte nicht. Gut, macht ja nix, ws runterfahren und IP von der ws auf der Linuxbox fest setzen. Nix ging... die Pkgs wurden einfach verworfen. Per dhcpcd gings dann problemlos, der hohlte sich ne IP und konnte mit der arbeiten.

    gruss

    reto


    Re:.... (Score:0)
    Von Anonymer Feigling am Thursday 06. February, 20:33 MEW (#11)
    Das ist was anderes.
    Ich denke mir, Cablecom routet nur Addressen, die einen gültigen Lease haben. Das ist auch sinvoll, um Konflikte zu vermeiden.
    Cablecom lässt ja je nach Abo mehrere Geräte mit beliebiger MAC Addresse zu, ein Router ist also kein Problem.
    Re:.... (Score:1)
    Von map (pmaechler /at/ freesurf.ch) am Friday 07. February, 06:57 MEW (#15)
    (User #1001 Info)
    Ich hab von Cablecom offiziell nur eine dynamische IP zur Verfügung. Wenn ich nun anstatt den Router einen anderen PC mal direkt anschliessen möchte, und dann per DHCP eine IP will, muss ich das Modem ausschalten und wieder einschalten damit es die MAC-Adresse des Router-PC's vergisst. Danach funktioniert alles Problemlos.
    Re:.... (Score:1)
    Von schth (t punkt schmid at gmx punkt net) am Thursday 06. February, 20:11 MEW (#8)
    (User #782 Info)
    Hmm... irgendwie kann ich mir das nicht so ganz vorstellen, da wenn du einen Router ans Modem haengst, dein Provider sowiso nur eine MAC Adresse, naemlich die vom Router, bekommt. Aber wie ich hier in Kanada festgestellt habe, ist es ueblich, dass das Modem direkt an den HUB/Switch angeschlossen wird. So identifiziert sich dann jeder beim ISP mit dem gleichen Account. Wiso man da aber MAC Adressen loggen soll weiss ich nicht. Um dies zu verhindert kann man einfach nachschauen, ob ein Account schon benuetzt wird, und falls dies der Fall ist, das einloggen verhindern... oder habe ich da etwas nicht ganz verstanden???

    Gruesschen Thomas

    Re:.... (Score:0)
    Von Anonymer Feigling am Thursday 06. February, 20:30 MEW (#10)
    Ich gewissen Teilen der USA (jaja, @home war gross :)) haben sie bei der Installation gleich die MAC des vorhandenen Rechners erfasst. Diese wurde MAC dann in den DHCP Server eingetragen. Der Server gab nur bekannten MAC's eine Ip-Addresse.
    Wenn du jetzt einen Router gekauft hast, hatte der natürlich eine andere MAC und bekam keine IP. Ausser das Gerät hat eine frei einstellbare MAC :)
    Re:.... (Score:1)
    Von Ventilator (ventilator auf parodia punkt zee haa) am Thursday 06. February, 23:13 MEW (#13)
    (User #22 Info) http://www.mp3.com/bri
    Ja wunderbar. Und wenns Dir die Netzwerkkarte abraucht, dann musst Du der Supporthotline telefonieren? Waaaah!
    --
    Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
    Re:.... (Score:1)
    Von Schutti am Friday 07. February, 16:24 MEW (#21)
    (User #431 Info)
    Ist hier in Wien bei Chello genauso.
    Ich habe den Rechner ursprünglich direkt am Modem angeschlossen gehabt, hetzt ist die Netzwerkarte aus meinem Rechner einfach in den fli4l Router eingebaut worden, dadurch habe ich mir die ganze MAC Bastelei gespart und alles läuft perfekt.

    Schutti
    Re:.... (Score:0)
    Von Anonymer Feigling am Friday 07. February, 11:00 MEW (#17)
    You got it :)
    Meine Lösung ... (Score:1)
    Von dadith am Friday 07. February, 10:55 MEW (#16)
    (User #116 Info)
    Zumindestens bei den Installationen für unbedarfte Leute:
    1. Ein Netz intern, 192,168er IP Raum. Nicht geroutet, kein NAT.
    2. DSL Haengt an einem Linux Rechner mit KDE, Samba fuers filesharing und Firewall fuer die Sicherheit.
    3. kdm horcht auf XDMCP (nach aussen geblockt versteht sich)
    4. Auf den anderen Rechnern (Windows) laeufgt Cygwin und XFree86, mit einem kleinen (bash) Script machen die dann einen XDMCP Connect auf die linux maschine.
    Ergebnis: WIndows Rechner mit einem Internetzugang ueber Linux, der letzlich eine KDE in einer art MDI Fenster hat. Die Bedingungen sind nicht verletzt da nur ein Rechner ueber DSL ans Netz geht - nur ist dieser halt ein Multiuser Rechner. Einziger Nachteil ist (zur Zeit) die fehlende Audio Ausgabe.
    Ciao, Peter
    Re:Meine Lösung ... (Score:2)
    Von brummfondel am Friday 07. February, 11:14 MEW (#18)
    (User #784 Info)
    Einfacher: Squid einrichten - dann als Proxy im Browser und die meisten Anwendungen laufen somit über einen Rechner, so daß die übrigen Rechner erheblich weniger Traffic erzeugen.

    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    für unbedarfte? (Score:0)
    Von Anonymer Feigling am Friday 07. February, 11:19 MEW (#19)
    nichts für ungut, aber unbedarfte verstehen gar nicht, wovon du gerade geschrieben hast. Deine Lösung dürfte höchstens für ein paar Freaks in Frage kommen ;-)
    Re:für unbedarfte? (Score:1)
    Von muffi am Friday 07. February, 13:51 MEW (#20)
    (User #125 Info)
    So wie ich das verstehe schlägt er vor die Apps auf dem Router laufen zu lassen und die Clients zu Thin Clients zu degradieren - das ganze läuft über X als Protokoll. (Man koennte auch VNC oder sowas benutzen.)

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen