|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Ich kann leider das Paper nicht lesen auf dieser WS.. aber meinst du mit ID die ISN (internet sequence number)? Die sollte ja eigentlich nicht vorhersagbar bzw. einfach hochzaehlbar sein da sie sonst IP-spoofing (wenigstens blindes) ermoeglichen wuerde. Wenn ichs richtig im Kopf habe kann man mit nmap diese ja versuchen vorherzusagen und kriegt eine Auswertung wie schwer dies waere (ist glaubs bei der Option dabei wo man versucht das OS rauszufinden)
Ansonsten schafft sicherlich auch ein Proxy (wie IMHO in allen groesseren Firmen) abhilfe...
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Gemeint ist die ID im IP-Header, welche notwendig ist, um z.B. fragementierte Pakete wieder korrekt zusammenbauen zu können. Ab Byte 18 im IP-Header wenn ich mich verzählt habe. Und diese Zahlen sind einfach aufsteigend, jedenfalls bei meinem 2.4.18er Linux und laut Ethereal...
Deswegen auch der Kommentar bei Slashdot: Das kann krachen, wenn zufälligerweise zwei Host hinter dem Gateway fragementierte Pakete mit der gleichen ID versendet haben...
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
Wobei es ja auch heißt, daß z.B. *BSD das anders macht. Also wird früher oder später jemand das in den Linux-Code auch aufnehmen.
Alles in allem ist die Untersuchung jedoch sehr interessant und könnte schon damit ausgehebelt werden, wenn pro Ziel-Host ein eigener Zähler liefe - das schreibt er ja auch selbst. Dadurch würde nämlich die Anzahl der Rechner hinter dem NAT fälschlicherweise ansteigen und damit die Ermittlung hinfällig machen.
Krachen kann das immer nur dann, wenn die Pakete zur gleichen Zieladresse bzw. von der gleichen Quelladresse kommen: also wenn zwei Rechner hinter dem NAT mit dem gleichen Rechner gleichzeitig reden.
Wie wärs denn mit der Lösung: im eigenen Netz IPv6 fahren und dann den NAT-Router alles auf v4 bringen lassen - was wird dann mit den Sequenz-Nummern?
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
Mh, eben nicht Sequenz Nummer sondern ID-Feld.. aber irgendwie blick ich immer noch nicht durch. Hat ein fragmentiertes Packet nicht denselben Header wie das erste nur dass das ID-Feld sich unterscheidet? Naja, mal das PDF gut durchlesen ;). Bellovin ist ja bekannt (Firewalls and Internet Security.. mein erstes Buch *schwaerm*)
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
Mein ich doch, nagel das nicht so an dem Wort fest, nur weil es in dem Artikel ID heißt. Fragment-ID, ok, Segmentnummer wird das bei TCP genannt, aber die Funktionsweise ist ähnlich (nein, nicht wirklich vom Sinn, aber von der Numerierung).
Aber die ID kann bei einem fragmentierten Paket nicht anders sein, sondern soweit ich das aus dem Kopf weiß, gibt es noch einen weiteren Zähler für die Fragmente, die dann zu dem ID-Paket gehören.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 06. February, 17:16 MEW (#2)
|
|
|
|
|
Wer sich nicht an die AUP seines Providers haelt, macht sowieso etwas flashc. Es gibt schliesslich viele Provider, die es explizit erlauben, mehrere Rechner an seinem Anschluss zu betreiben.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Prinzipiell stimme ich Dir zu, nur gibt es in .de nur sehr wenige ADSL-Provider, die das erlauben. In .ch scheint das anders zu sein.
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
Klar. Zumindest bei der Cablecom liest man auf einer Supports eite: "Wenn Sie bereits ein hispeed 512 Abo nutzen und mehr als 4 Computer gleichzeitig mit dem Internet verbinden möchten, besteht die Möglichkeit, einen Router zwischen Cablemodem und Hub zu schalten."
Es ist also offiziell erlaubt.
--
Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
|
|
|
|
|
|
|
.... (Score:2, Tiefsinnig)
|
|
|
|
Von Anonymer Feigling am Thursday 06. February, 17:57 MEW (#4)
|
|
|
|
|
Wenn die Provider (vor allem in den USA) beginnen, Netze abzuscannen, werden die Routerhersteller schnell Modelle bringen, die dies nicht mehr zulassen.
Zumindest in den USA ist der Boom der Router auf den Umstand zurüchzuführen, dass viele Cable Provider (vor allem @home) nur einen PC zuliessen. Man het sogar (extra!) Funktionen wie das Klonen der MAC Addresse eingebaut, da @home die MAC des Kunden erfasste und man nur mit dieser MAC eine IP bekam.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Irgendwas ähnliches macht die Cablecom auch. Letzte hatten hatte ich bei nem Kollegen folgendes Problem... dhcpcd funktionierte nicht. Gut, macht ja nix, ws runterfahren und IP von der ws auf der Linuxbox fest setzen. Nix ging... die Pkgs wurden einfach verworfen. Per dhcpcd gings dann problemlos, der hohlte sich ne IP und konnte mit der arbeiten.
gruss
reto
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 06. February, 20:33 MEW (#11)
|
|
|
|
|
Das ist was anderes.
Ich denke mir, Cablecom routet nur Addressen, die einen gültigen Lease haben. Das ist auch sinvoll, um Konflikte zu vermeiden.
Cablecom lässt ja je nach Abo mehrere Geräte mit beliebiger MAC Addresse zu, ein Router ist also kein Problem.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich hab von Cablecom offiziell nur eine dynamische IP zur Verfügung. Wenn ich nun anstatt den Router einen anderen PC mal direkt anschliessen möchte, und dann per DHCP eine IP will, muss ich das Modem ausschalten und wieder einschalten damit es die MAC-Adresse des Router-PC's vergisst. Danach funktioniert alles Problemlos.
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 06. February, 20:30 MEW (#10)
|
|
|
|
|
Ich gewissen Teilen der USA (jaja, @home war gross :)) haben sie bei der Installation gleich die MAC des vorhandenen Rechners erfasst. Diese wurde MAC dann in den DHCP Server eingetragen. Der Server gab nur bekannten MAC's eine Ip-Addresse.
Wenn du jetzt einen Router gekauft hast, hatte der natürlich eine andere MAC und bekam keine IP. Ausser das Gerät hat eine frei einstellbare MAC :)
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja wunderbar. Und wenns Dir die Netzwerkkarte abraucht, dann musst Du der Supporthotline telefonieren? Waaaah!
--
Den Symlink-Autoren bei der Arbeit zuhören? MP3 hier
|
|
|
|
|
|
|
|
|
|
|
|
|
Ist hier in Wien bei Chello genauso.
Ich habe den Rechner ursprünglich direkt am Modem angeschlossen gehabt, hetzt ist die Netzwerkarte aus meinem Rechner einfach in den fli4l Router eingebaut worden, dadurch habe ich mir die ganze MAC Bastelei gespart und alles läuft perfekt.
Schutti
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 07. February, 11:00 MEW (#17)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Zumindestens bei den Installationen für unbedarfte Leute:
- Ein Netz intern, 192,168er IP Raum. Nicht geroutet, kein NAT.
- DSL Haengt an einem Linux Rechner mit KDE, Samba fuers filesharing und Firewall fuer die Sicherheit.
- kdm horcht auf XDMCP (nach aussen geblockt versteht sich)
- Auf den anderen Rechnern (Windows) laeufgt Cygwin und XFree86, mit einem kleinen (bash) Script machen die dann einen XDMCP Connect auf die linux maschine.
Ergebnis: WIndows Rechner mit einem Internetzugang ueber Linux, der letzlich eine KDE in einer art MDI Fenster hat. Die Bedingungen sind nicht verletzt da nur ein Rechner ueber DSL ans Netz geht - nur ist dieser halt ein Multiuser Rechner. Einziger Nachteil ist (zur Zeit) die fehlende Audio Ausgabe.
Ciao, Peter
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Einfacher: Squid einrichten - dann als Proxy im Browser und die meisten Anwendungen laufen somit über einen Rechner, so daß die übrigen Rechner erheblich weniger Traffic erzeugen.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 07. February, 11:19 MEW (#19)
|
|
|
|
|
nichts für ungut, aber unbedarfte verstehen gar nicht, wovon du gerade geschrieben hast. Deine Lösung dürfte höchstens für ein paar Freaks in Frage kommen ;-)
|
|
|
|
|
|
|
|
|
|
|
|
|
So wie ich das verstehe schlägt er vor die Apps auf dem Router laufen zu lassen und die Clients zu Thin Clients zu degradieren - das ganze läuft über X als Protokoll. (Man koennte auch VNC oder sowas benutzen.)
|
|
|
|
|
