Egy kis gondolkodni valo

 ( toshy | 2006. augusztus 31., csütörtök - 15:54 )

Van egy erdekes kerdesem.

Szoval van egy halozat, proxy -n keresztul lehet kimeni a Net-re.
A problema az, hogy sajnos nem lehet megtilatni, hogy masik proxyt is lehessen hasznalni. (Nem tehnikai okok miat.), es ilyen masik proxybol eleg sok van.
Szoval dumpolom a halot, es egy ugyes kis script-el, mondjuk ugy, hogy eldontom, hogy milyen forgalomnak nem kellene mennie.
Na most itt jon a kerdes.

Szerintetetek a sendip nevu csodaval (http://www.earth.li/projectpurple/progs/sendip.html) lehetne olyan TCP csomagot osszealitani, amivel ket gep kozott eppen folyo adat folyamot resetelni lehet ??

Tehat meghamisitani a forrast IP -t es kuldeni egy FIN, vagy egy RST flaget !
Fontos, hogy a gep amelyik dumpolja a halot, ugye az csak dumpol, es nem rajta folyik keresztul a komunikacio, tehat nincsenek semmilyen routing funkcioi.
Esetleg csinalt mar valaki ilyesmit ??

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nekem ez eleg nyakatekert megoldasnak tunik, bar nem lehetetlen. Kicsit ird korul jobban a problemat es a lehetosegeket (nem feltetlenul technikaira gondolok) es a HUP brainstorm team kitalal vmit :) En speciel nem tiltanam, hogy mas proxyt hasznalhassanak csupan rakenyszeritenem oket, bar alapvetoen a Te megoldasod is ilyesmi jellegu ;)

Pl olyat lehetne csinalni, hogy az osszes mas proxy fele iranyulo forgalmat atiranyitod a sajatodra, mondjuk a 3128as portra iranyulo kereseket de mivel nem tudom milyen kornyezetrol van szo inkabb nem irok egyelore semmit. Informaciot! :)

Megprobalom kicsit jobban korul irni.
Adott egy bazi nagy privat halo, ami world wide meretu, ennek a halozatnak vagyunk mi is resze.
Proxy nelkul el kell erniuk minden "belso" webszervert ! -Ez szabaly.
De sajnos minden webszerver proxy -zik is raadasul a 80 -as porton is !!
(tehat iptables kilove)
De sikerult ugymond kiszurnom, hogy melyek azok a csomagok amik 80 -anas portrol jonnek de azert Proxy -rol , es nem webezesrol van szo.
Ezt az adatfolyamot kell tiltanom, de ugyanakkor ha azon a webszerveren levo oldalakra kivancsiak akkor az mukodjon.
Mivel ezek a webszerverek nem tartoznak ugye hozzam , hanem mondjuk a Japanok -hoz, meg Franciak -hoz, ... stb (tobb szaz van),
ezert nem tudom a proxyzast ki kapcsolni, sem peddig kikapcsoltatni rajtuk.

Forgalom iranyitasrol ugye azert nem beszelhetunk mert mint mondtam, nincs routing azon a gepen.
A router egy CISCO eszkoz, az most mindegy, hogy milyen.

Az nem megoldás, hogy minden nem a Te proxydra menő forgalmat tiltasz? iptables csodákat tehet nem?
Mi az oka, hogy nem írod meg a megfelelő tűzfalszabályaidat?

covek@covek.hu

Pont erre valo a tcpkill (google://tcpkill), debianban megtalalod a dsniff csomagban. Azert csak ovatosan vele, konnyu vele megkeseriteni masok eletet. :-(

Hm jonak tunik, utana nezek.
Meg nem is hallotam rola, hiaba mindig tanul az ember valamit :)
Elore is koszi, ha muxik (vagy ha nem) akkor megirom !

Sajnos nem jo nekem,
mivel nem megy at a sniffelo gepen,
tehat azon a gepen, amelyiken ez mukodne, az adat folyam.
A tcpkill ahogy latom a lokalis gepen szakitja meg a komunikaciot.

toshy írta:
A tcpkill ahogy latom a lokalis gepen szakitja meg a komunikaciot.

Nem hasznaltam meg ugyan elesben (nem volt ra szuksegem), de azt hiszem, ez nem igy van. A kovetkezok miatt:

  1. Amikor elinditod, az interface-t promiscuous modba teszi.
  2. Hasznalja a libpcapet (akarcsak a tcpdump).
  3. A manjaban ez szerepel: "Specify the degree of brute force to use in killing a connection. Fast connections may require a higher number in order to land a RST in the moving receive window." (Ez valasz lehet az eredeti sendip kerdesedre is.)

A legutobbi pont szerint nem csak csomagokat dob el (ekkor tudna csak atmeno kapcsolatot megszakitani), hanem kuld egy RST-t (igy mashova is mukodnie kene). Egyebkent pedig csak egy broadcast tartomanyban kell lenned a megszakitando kapcsolat egyik vegpontjaval: tipikusan ez a helyzet egy etherneten. Bar egy switchelt ethernet tovabbi gondokat jelenthet, de akkor meg mindig fel tudod venni a megfelelo MAC cimet, vagy hasznalhatsz ARP spoofing-ot.

udv: rubasov