Обнаружение компьютера по МАС
Вводные данные: Интернет выделенная линия через PPoE, договор заключен на бомжа с пропиской на окраине города, туда же проведен кабель, известно что у провайдера есть привязка к МАС.
Если в своем подъезде я возьму чей нибудь кабель от этого провайдера и сделаю врезку подключив все это дело через свитч и протяну себе кабель, воткну его в роутер находящийся дома и установлю МАС логин и пароль от договора на бомжа.
Вопрос: позволяет ли протокол PPoE и другие ухищрения понять где я буду находится и придти ко мне в гости :)
:-())))))
От этого кого-нибудь вы будете находиться не далеко? Тогда просто обнаружить утечку трафика, найти врезку и пойти по кабелю.
Но использование в качестве промежуточного узла wi-fi каким-либо образом, кончено, будет предпочтительней чем такое палево как проводка кабеля себе в квартиру.
Утечки трафика не будет, разве что падение скорости, логины разные же, и учет трафика ведется по логинам.
Проводка кабеля это тоже сделано для упрощения схемы. Понятно что роутер с кабелем лучше оставить там где врезка и в случае длительного обрыва связи не ходить смотреть что случилось чтоб в засаду не попасть :)
Главный вопрос был в том что возможно ли через PPPoE протокол определить местонахождение абонента при условии что его договор зарегистрирован по другому адресу.
Я понимаю что если соединение напрямую без роутреа, то при засылании трояна ну или специальной ссылки на особый скрипт, можно посмотреть какие МАС адреса еще есть в локальной сети и посмотреть их адреса по базе и с точностью до дома(подъезда) вычислить злодея. но у роутера в локалке буду только я, а внешнее сетевое окружение как я понимаю будет недоступно.
Еще варианты? Хотелось бы услышать ответ от специалиста по сетям, если таковые сюда заходят.
То, как это написано, подразумевает, что
Нюансы по поводу 2го пункта:
Если интернет будете использовать только вы, а истиный хозяин — фиктивный, то всё равно при желании найдут куда ведут провода (пеленгация в случае wifi).
1. Исконный владелец фиктивный
2. МАС разные
3 и 4 без коментариев, это то что я хотел услышать.
Вопрос только в том, как технически это выглядит? Умный свитчи отсылают статистику провайдеру? Как я понимаю отследить можно именно по анализу какие МАС кроме моего будут рядом в сегменте сети.
Нет, всё выглядит очень просто. На свиче стоит своя мини-ОС или что-то в том духе, которой можно управлять через web-интерфейс (http-адрес, логин, пароль). Там в настройках можно указать, что "с данной дырки не принимать пакеты вообще" или "принимать только с такого-то MAC-адреса". Я про функционал такого софта не особо в курсе (но можете нагуглить), но со стороны видел, как это делается. Собирает ли свич какую-то статистику по левым пакетам, не удовлетворяющим критерии — не знаю.
При чём тут MAC? В топологии с умными свичами и так понятно, откуда идёт соединение физически (т.е. в какую дырку какого свича поступают пакеты). Свич такого уровня стоит один на этаже или один на несколько этажей. Дальше определяем либо по проводу куда он ведёт, либо по пеленгации, если провод воткнут в wifi-свич на условном чердаке.
Если бы сеть состояла из самых тупых свичей (фактически просто розеток) — такое уже редко где, как мне представляется, осталось (по большей части — в локалках организаций) — вот тогда бы было другое дело. Там были бы свичи, воткнутые в другие свичи, которые воткнуты в третьи свичи и т.д. Способ поймать, пользуясь исключительно таким оборудованием, уже не столь прост: надо ловить во время установленного соединения и выдёргивать поочерёдно провода из свича самого верхнего уровня. Как только обнаружили, какой провод надо выдернуть, чтобы пропало соединение, идут на свич второго уровня на этом проводе и повторяют процедуру. За n итераций устанавливают точный провод. Если есть какая-то обстоятельная оффлайновая информация о соединении (например, "в этом доме на такое способен только Вася, т.к. только у него FreeBSD и только он — админ"), то можно методом тыка прийти сразу по адресу. Выдёргивание провода Васи облегчит поимку.
Что касается пеленгации, то принципиально это делается. Насколько это технически геморно для сотрудников провайдера, и насколько сильная мотивация должна быть, чтобы к ним согласилась приехать спецслужба и проводить эти мероприятия по какому-нить рядовому случаю — не знаю. По факту мошенники в Москве нисколько не стесняются использовать обычные московские номера/симки, вещать из них, и при этом почти никто их не ловит. Судя по тому, что просачивается в новости, пеленгация — для серьёзных случаев, наподобие "убийца пользуется мобильником убитой, и его надо найти". В случае wifi сигнал распространяется не на большие расстояния, так что можно без пеленгации обойти близлежащие квартиры, подавать психологически, сделать обыск и найти. Ну, это всё так, на уровне полудомыслов.
Во-первых, предполагалось, что MAC менять не будут. Во-вторых, это не столько компетенция специалистов по
сетямбезопасности, сколько форензиков. Специалисты по ИБ знают, что MAC не решает никаких вопросов, потому они строят защиту, которая слабо зависит от MAC'а вообще (и даже это — для особых случаев). Форензики тоже это знают, но их цель — массовая атака тех, кто в ИБ вообще не смыслит. СнаучнойИБшной точки зрения "решение есть"*, и этого достаточно, чтобы от него отказаться и не опираться на него далее. Спрактическойфорензиковой же точки зрения это решение надо довести до уровня "вот он, Вася, стоит, и вот его MAC". На этом сайте второй подход вызывает куда меньше интереса, т.к. цель проекта — защита от противника, а не нападение на него (тут как раз форензики ближе по идеологии к взломщикам и злоумышленникам).*Из анекдота:
Подобное уже обсуждалось: /comment50230.
Продолжу схему:
Россия. Сервер в офисе снятом на левую фирму, подключен к интернету через кабель.
Клиент по левым данным тоже подключен к интернету.
Есть сторонний впн сервер со множеством пользователей где нибудь в азии.
Клиент и сервер соединятются с этим впном и клиент через удаленный рабочий стол работает на сервере.
Если российские полицейские придут в офис за сервером, га сколько реально им найти клиента этого сервера?
С практической точки зрения — это вопрос опять же к форензикам, отделу К и т.д. С теоретической точки зрения — элементарно: официальный запрос в азиатскую страну, и ISP VPN-сервера выдаёт полный список всех, кто коннектился, когда, сколько скачал трафика и т.д., даже логов с самого VPN-сервера не потребуется. Дальше понять who is who — дело техники. Сабж обсуждался в /faq/anonimnostjobschievoprosy#h37444-4. Вот если бы ваш сервер являлся скрытым ресурсом Tor, а клиент — Tor-клиентом, был бы другой разговор. Почитайте разделы /faq'а (посвящённые анонимности) на этом сайте.
комментариев: 9796 документов: 488 редакций: 5664
Это больше выглядит как частный случай: "Хочу, чтобы у меня всё было и мне за это ничего не было".