Ded Banzai Posted February 16, 2003 Posted February 16, 2003 Народ! Как бороться с туннелированием трафика? Вставить ник Quote
Nag Posted February 16, 2003 Posted February 16, 2003 Ну рутерами. :-) Ну а как бороться еще, если сеть езернет представляет собой черный и никак неконтролируемый снаружи ящик? Еще хабы добрым словом вспомнить можно - хоть что-то снаружи видно... Тут любые методы внешнего шифрования бессильны... И кто-то может зарабатывать на чужой сети. :-( Вставить ник Quote
Ded Banzai Posted February 16, 2003 Author Posted February 16, 2003 Блин, я наверное не так выразился... Я имею в виду маскирование HTTP трафика в PPP, DNS и т.п. Кроме как варианта оплаты за любой внешний трафик ничего сделать нельзя? Вставить ник Quote
Nag Posted February 16, 2003 Posted February 16, 2003 Ха. :-))) Мда.... Ну тут я не советчик. ;-) Вставить ник Quote
VM Posted February 17, 2003 Posted February 17, 2003 Ded Banzai Каким конкретно софтом пользуются для subj? Вставить ник Quote
Vzhik Posted February 17, 2003 Posted February 17, 2003 прокси не даст тунель по порту http сделать. а чтоб дальше советовать, конкретней поясни суть проблемы.. я мало че понял. Вставить ник Quote
Ded Banzai Posted February 19, 2003 Author Posted February 19, 2003 Программ для такого туннелирования - дофига и больше... Вешается скеверная часть на какой-нибудь бесплатной страничке. Она занимается преобразованием трафика в POP3. А у тебя на компе висит клиент, который распаковывает POP3 трафик в HTTP. Почтовый трафик чаще всего бесплатный. К стати можно повесить такую штуку на любой протокол... Хоть на запросы к DNS... Вот и качаешь себе гигабайты (медленнее правда) нахаляву... Вставить ник Quote
Олег Кривицкий Posted February 20, 2003 Posted February 20, 2003 Почтовый трафик чаще всего бесплатный. А вот это неправильно. А если я в письмах буду фильмы пересылать? Это всё на халяву? Если трафик внешний, то он ВЕСЬ должет быть платным. Вставить ник Quote
Richnet Posted February 20, 2003 Posted February 20, 2003 ну чтобы фильмы в письмах не слать нужно делать почтовые ящики маленькие - 10 мб например :) а второе - на сколько я понимаю технологию туннелирования то если у клиента фейковый адрес и он выходит через NAT то туннель он непостроит , или я ошибаюсь ??? Вставить ник Quote
Ded Banzai Posted February 20, 2003 Author Posted February 20, 2003 Адрес в принципе не важен... Он вешается на любой бесплатный сервис... А дальше просто идёт распаковка того, что туда захотят вставить. Можно хоть в ICMP запросы воткнуть HTTP, или FTP... NATом его не закрыть... :((( Пройдёт практически через любой файервол... Вставить ник Quote
DiBrain Posted February 21, 2003 Posted February 21, 2003 Гмм а вот про это поподробнее... Что за проги, ссылочку хотябы одну скинь, ты сам это реализовывал? Вставить ник Quote
Ded Banzai Posted February 23, 2003 Author Posted February 23, 2003 http://www.dstu.edu.ru/manuals/HOWTO-mini/...Piercing-1.html Например эта ссылка... Вставить ник Quote
Ded Banzai Posted February 23, 2003 Author Posted February 23, 2003 http://gnu.chg.ru/brave-gnu-world/issue-24.en.html Или эта... Вставить ник Quote
Ded Banzai Posted February 23, 2003 Author Posted February 23, 2003 А можно вообще вот так: http://www.yandex.ru/yandsearch?text=tcp+over+ICMP Вставить ник Quote
Ded Banzai Posted March 7, 2003 Author Posted March 7, 2003 Ну так как таки бороться с такими редисками? Вставить ник Quote
tagus Posted March 8, 2003 Posted March 8, 2003 Ну так как таки бороться с такими редисками? Платным траффиком. Вставить ник Quote
Guest Posted March 30, 2005 Posted March 30, 2005 Можно пресечь любое туннелирование, хотя придется отказаться от каких нибудь удобств или возможностей. На примере ICMP можно отфильтровывать его весь на фаерволе, хотя если очень хочется оставит ICMP то можно сделать умный фаервол, который будет смотреть что находится во входящих и исходящих пакетах... например при эхо запросах, ушел пакет с одним содержимым, а возвращается с другим - откидываем нафиг... или ловить по сигнатурам известных программ. Но это уже повод для ДоС атак. Не знаю как насчёт POP3, а насчёт HTTP туннелинга, можно следить за хостами к которым идут подключения, если например юзер месяцами не вылазит с какого нить публичного прокси да еще и через SSL ( Я имею в виду туннелирование через HTTP прокси ), можно еще запретить на прокси SSL CONNECT... это помешает работать традиционным туннеляторам. С DNS туннелингом помойму очень не просто, надо резать запросы к конкретным DNS серверам... В обще с начала придется выявить это самое туннелирование и разобраться с его природой. а проги которые для этого предназначены и которыми я лично пользовался под win это: HTTPort/Host, Bouncer - это для HTTP туннелирования и X-Proxy для ICMP, хотя он кривоват ещё. Вставить ник Quote
Guest Posted July 11, 2005 Posted July 11, 2005 Программ для такого туннелирования - дофига и больше... Вешается скеверная часть на какой-нибудь бесплатной страничке. Она занимается преобразованием трафика в POP3. А у тебя на компе висит клиент, который распаковывает POP3 трафик в HTTP. Почтовый трафик чаще всего бесплатный. К стати можно повесить такую штуку на любой протокол... Хоть на запросы к DNS... Вот и качаешь себе гигабайты (медленнее правда) нахаляву... Вставить ник Quote
PbI6a Posted July 12, 2005 Posted July 12, 2005 С DNS туннелингом помойму очень не просто, надо резать запросы к конкретным DNS серверам... Хммм.. а не наоборот ли ? Есть провайдеровские ( то есть ваши) ДНС сервера и кроме них никуды пользователям лазить нельзя за днс запросами. Даже с точки зрения законов такой вариант я думаю гораздо менее беззаконный чем блокировка хостов на которых юзер "долго сидит". Чем не вариант если не устраивает правильный и единственный вариант решения проблемы, что трафик надо считать IP, а не НТТР отдельно, днс отдельно, а icmp вобще по способу №357 ? :) Вставить ник Quote
Солнечный КОТ Posted July 12, 2005 Posted July 12, 2005 Вопросы подобные имхо надо решать не техническим, а админисративным путем. То есть оплатой за ЛЮБОЙ внешний траффик. Ведь аплинку то вы платите по порту. Вставить ник Quote
ToSHiC Posted July 12, 2005 Posted July 12, 2005 PbI6a, вся фишка днс туннелирования была в том, что клиенту нужен доступ только к днс серверу провайдера, а дальше уже траффик от его имени шёл. Вставить ник Quote
Grey Posted July 13, 2005 Posted July 13, 2005 Не понятна сама проблема в корне... Платный трафик только HTTP? Это кто такое придумал? Вы (автор вопроса) провайдеры или где? если провайдеры, то и считайте по-людски трафик своим клиентам, зачем городить огород? Если это вопрос "ради вопроса", то обозначьте это в самом вопросе сразу, чёб не было непонимания у читающих... Я ещё не видел более или менее серъёзного провайдера, который бы обсчитывал трафик по HTTP или др. Как правило считается ВСЁ на порту или на фаерволе (возможны варианты) но в любом случае считается ВЕСЬ, входящий на потребителя, трафик. Теоритически можно конечно выдумать разные штучки при подсчёте трафика, но Вам охота городить огород и вечно потом вылавливать "умников" кто сообразил как вас обойти? По поводу мыльного трафика и кино: совершенно смешно тут высказывались... многотомные архивы никто не запрещал... даже через 1 мегабайтный почтовый ящик можно переслать не сильно напрягаясь не один фильм.... думаю тут всем должно быть понятно... странно что при обсуждении темы ветки возникают такие мнения о размерах почтовых ящиков... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.