NATs von außen erkennen!?

slick · Bodhisattva Joined: 20 Apr 2003 Posts: 3495

Ich habe vor einer Weile einen Artikel gelesen wo geschrieben stand dass man jetzt eine Methode gefunden hat NATs von außen zu erkennen. Weil jeder Rechner eine internen Counter hat mit dem er die Pakete hochzählt und diese Nummer in den Paketen selber steht. So läßt sich von außen sogar die Anzahl der PCs hinter dem NAT ermitteln. Außerdem stand da das man da mit NetBSD die Pakete manipulieren kann das das nicht passiert.

Nun meine Frage! Kennt sich jemand damit aus? Kann man das unter Gentoo (irgentwie) auch verhindern dass dieses Infos nach außen gehen...

Haldir · Guru Joined: 27 Sep 2002 Posts: 546

Ja theoretisch ist das wohl schon möglich von aussen zu erkennen ob mehrere Rechner hinter einem NAT Router stehen (jaja die bösen T-DSL benützer...), nachdem jedes TCP/IP Packet im Header eine Sequenznumer hat und wenn man die von aussen alle loggen würde, könnte man theoretisch erkennen ob viele stark unterschiedliche Nummernfolgen drin sind (weil sind grundsätzlich zufallsgeneriert für jede Verbindung). Ich würd mal sagen, vergiß es, nachdem der Aufwand fürs Loggen/Überprüfen viel zu hoch ist. Der Aufwand dass effektiv zu ändern und im LAN wieder zu korrigieren (SEQ->ACK) dürfte aber auch net sonderlich klein sein, nachdem echte Zufallsgenerierung von den Sequenznummern wichtig is um Spoofing und ähnliches zu unterbinden...

JensZ · Guru Joined: 15 Feb 2003 Posts: 339 Location: Freiburg

Irgendeins der BSD's kann das, aber frag jetzt bitte nicht welches ;-)

eromb · n00b Joined: 08 Aug 2003 Posts: 8

sschlueter · Posted: Sat Aug 16, 2003 4:41 pm Post subject:

Es stimmt zwar, daß verschiedene Clients Ihre initialen Sequenznummern auf unterschiedliche Art und Weise wählen, und auch die Generierung von IP IDs ist unterschiedlich, aber man wird nur schwer durch Beobachten des Traffics verschiedene Clients nachweisen lönnen.

Ein Linux NAT-Router ändert auch diese Eigenschaften nicht. Zur Zeit geht das AFAIK nur mit OpenBSD und pf (Portierungsprojekte für pf laufen aber schon). Dort gibt es die Möglichkeit, die IP IDs mittels "scrub random-id" in zufällige IDs zu ändern. Und die initialen Sequenznummern kann man mittels "modulate state" zufällig machen.

Aber es gibt noch ganz andere Möglichkeiten, die Clients durch Beobachten des Traffic herauszufinden. Die Daten finden sich nicht in den IP- oder TCP-Headern, sondern in den Bodies bei recht vielen Protokollen. ICQ ist so ein Beispiel. Manche ICQ-Clients übermitteln auch die private IP-Adresse. Das kann aber beim Surfen auch passieren. Ein Javascript-Skript oder ein Java Applet kann die private IP-Adresse ebenfalls ermitteln und übers Netz übermitteln. Bei vielen anderen Protokollen kann das auch vorkommen.