id: Гость   вход   регистрация
текущее время 18:00 28/03/2024
Автор темы: Гость, тема открыта 18/02/2012 01:11 Печать
Категории: анонимность, приватность
http://www.pgpru.com/Форум/АнонимностьВИнтернет/ОбнаружениеКомпьютераПоМАС
создать
просмотр
ссылки

Обнаружение компьютера по МАС


Вводные данные: Интернет выделенная линия через PPoE, договор заключен на бомжа с пропиской на окраине города, туда же проведен кабель, известно что у провайдера есть привязка к МАС.
Если в своем подъезде я возьму чей нибудь кабель от этого провайдера и сделаю врезку подключив все это дело через свитч и протяну себе кабель, воткну его в роутер находящийся дома и установлю МАС логин и пароль от договора на бомжа.
Вопрос: позволяет ли протокол PPoE и другие ухищрения понять где я буду находится и придти ко мне в гости :)


 
Комментарии
— Гость (18/02/2012 09:05)   <#>


:-())))))
— Гость (18/02/2012 11:30)   <#>
я возьму чей нибудь кабель

От этого кого-нибудь вы будете находиться не далеко? Тогда просто обнаружить утечку трафика, найти врезку и пойти по кабелю.
— фыва (18/02/2012 11:45)   <#>
всё проще – вам провод оторвут и сядут в засаду ждать – когда вы сами придёте, чинить свою врезку (или wifi или что у вас там будет) :DDD
— Гость (18/02/2012 17:46)   <#>
Если вы живете не на той окраине, и будете выходить с другого конца города, естественно это будет заметно, когда будут специально смотреть.

Но использование в качестве промежуточного узла wi-fi каким-либо образом, кончено, будет предпочтительней чем такое палево как проводка кабеля себе в квартиру.
— Параноик (19/02/2012 00:30)   <#>
Ситуация конечно утрированная, но еще пару ньюансов:
Утечки трафика не будет, разве что падение скорости, логины разные же, и учет трафика ведется по логинам.
Проводка кабеля это тоже сделано для упрощения схемы. Понятно что роутер с кабелем лучше оставить там где врезка и в случае длительного обрыва связи не ходить смотреть что случилось чтоб в засаду не попасть :)

Главный вопрос был в том что возможно ли через PPPoE протокол определить местонахождение абонента при условии что его договор зарегистрирован по другому адресу.

Я понимаю что если соединение напрямую без роутреа, то при засылании трояна ну или специальной ссылки на особый скрипт, можно посмотреть какие МАС адреса еще есть в локальной сети и посмотреть их адреса по базе и с точностью до дома(подъезда) вычислить злодея. но у роутера в локалке буду только я, а внешнее сетевое окружение как я понимаю будет недоступно.
— Гость (19/02/2012 01:40)   <#>
Пробьют МАК, который вы лично привязали к провайдеру, по базам железа, и найдут производителя, который приведет в закуток где вы купили свое железо, а там камеры и прочие отпечатки ног.
— Параноик (19/02/2012 02:05)   <#>
00:50:56:9C:49:24 Мой адрес, как вы думаете где я покупал железо :) Правильный ответ в vmware, inc.
Еще варианты? Хотелось бы услышать ответ от специалиста по сетям, если таковые сюда заходят.
— Гость (19/02/2012 02:49)   <#>
Столько жирных тролль-ответов, что аж шакалит.


То, как это написано, подразумевает, что
  1. элементарно найти просто проглядев кабель, который тем более тянется к вам в квартиру
  2. с точки зрения прова на кабеле будет висеть 2 разных мака.

Нюансы по поводу 2го пункта:
  1. Пров может не дать параллельно авторизовываться по PPPoE: если исконный владелец в этот момент использует сеть, то интернет будет пропадать то у вас, то у него, и он пойдёт разбираться.
  2. Одновременно 2 одинаковых мака на одну дырку поставить нельзя — работать не будет.
  3. Умные свичи отслеживают смену мак-адресов и привязывают дырку к маку. Если мак другой, пакеты могут быть зарезаны.
  4. Некоторые провайдеры могут забанить (имел опыт лично) дырку на свиче, даже если там просто гуляют пакеты от нескольких разных машин — дескать, не положено провод втыкать в свич (даже если в интернет ходил только один комп из воткнутых в свич).

Если интернет будете использовать только вы, а истиный хозяин — фиктивный, то всё равно при желании найдут куда ведут провода (пеленгация в случае wifi).
— Параноик (19/02/2012 15:31)   <#>
Спасибо за обстоятельный ответ!
1. Исконный владелец фиктивный
2. МАС разные
3 и 4 без коментариев, это то что я хотел услышать.
Вопрос только в том, как технически это выглядит? Умный свитчи отсылают статистику провайдеру? Как я понимаю отследить можно именно по анализу какие МАС кроме моего будут рядом в сегменте сети.
— Гость (19/02/2012 20:53)   <#>

Нет, всё выглядит очень просто. На свиче стоит своя мини-ОС или что-то в том духе, которой можно управлять через web-интерфейс (http-адрес, логин, пароль). Там в настройках можно указать, что "с данной дырки не принимать пакеты вообще" или "принимать только с такого-то MAC-адреса". Я про функционал такого софта не особо в курсе (но можете нагуглить), но со стороны видел, как это делается. Собирает ли свич какую-то статистику по левым пакетам, не удовлетворяющим критерии — не знаю.


При чём тут MAC? В топологии с умными свичами и так понятно, откуда идёт соединение физически (т.е. в какую дырку какого свича поступают пакеты). Свич такого уровня стоит один на этаже или один на несколько этажей. Дальше определяем либо по проводу куда он ведёт, либо по пеленгации, если провод воткнут в wifi-свич на условном чердаке.

Если бы сеть состояла из самых тупых свичей (фактически просто розеток) — такое уже редко где, как мне представляется, осталось (по большей части — в локалках организаций) — вот тогда бы было другое дело. Там были бы свичи, воткнутые в другие свичи, которые воткнуты в третьи свичи и т.д. Способ поймать, пользуясь исключительно таким оборудованием, уже не столь прост: надо ловить во время установленного соединения и выдёргивать поочерёдно провода из свича самого верхнего уровня. Как только обнаружили, какой провод надо выдернуть, чтобы пропало соединение, идут на свич второго уровня на этом проводе и повторяют процедуру. За n итераций устанавливают точный провод. Если есть какая-то обстоятельная оффлайновая информация о соединении (например, "в этом доме на такое способен только Вася, т.к. только у него FreeBSD и только он — админ"), то можно методом тыка прийти сразу по адресу. Выдёргивание провода Васи облегчит поимку.

Что касается пеленгации, то принципиально это делается. Насколько это технически геморно для сотрудников провайдера, и насколько сильная мотивация должна быть, чтобы к ним согласилась приехать спецслужба и проводить эти мероприятия по какому-нить рядовому случаю — не знаю. По факту мошенники в Москве нисколько не стесняются использовать обычные московские номера/симки, вещать из них, и при этом почти никто их не ловит. Судя по тому, что просачивается в новости, пеленгация — для серьёзных случаев, наподобие "убийца пользуется мобильником убитой, и его надо найти". В случае wifi сигнал распространяется не на большие расстояния, так что можно без пеленгации обойти близлежащие квартиры, подавать психологически, сделать обыск и найти. Ну, это всё так, на уровне полудомыслов.
— Гость (19/02/2012 21:20)   <#>

Во-первых, предполагалось, что MAC менять не будут. Во-вторых, это не столько компетенция специалистов по сетям безопасности, сколько форензиков. Специалисты по ИБ знают, что MAC не решает никаких вопросов, потому они строят защиту, которая слабо зависит от MAC'а вообще (и даже это — для особых случаев). Форензики тоже это знают, но их цель — массовая атака тех, кто в ИБ вообще не смыслит. С научной ИБшной точки зрения "решение есть"*, и этого достаточно, чтобы от него отказаться и не опираться на него далее. С практической форензиковой же точки зрения это решение надо довести до уровня "вот он, Вася, стоит, и вот его MAC". На этом сайте второй подход вызывает куда меньше интереса, т.к. цель проекта — защита от противника, а не нападение на него (тут как раз форензики ближе по идеологии к взломщикам и злоумышленникам).

*Из анекдота:
Дано: комната, где горит огонь, угрожающий превратиться в пожар, и рядом лежит куча песка.
Инженер: входит в комнату, засыпает огонь песком, уходит.
Физик: входит в комнату, насыпает песок вокруг огня, садится и наблюдает за процессом.
Математик: входит в комнату, видит, что решение есть, и уходит.
— Гость (19/02/2012 21:27)   <#>

Подобное уже обсуждалось: /comment50230.
— Параноик (20/02/2012 00:16)   <#>
Очень обстоятельные ответы. Большое спасибо.
Продолжу схему:
Россия. Сервер в офисе снятом на левую фирму, подключен к интернету через кабель.
Клиент по левым данным тоже подключен к интернету.
Есть сторонний впн сервер со множеством пользователей где нибудь в азии.
Клиент и сервер соединятются с этим впном и клиент через удаленный рабочий стол работает на сервере.
Если российские полицейские придут в офис за сервером, га сколько реально им найти клиента этого сервера?
— Гость (20/02/2012 10:20)   <#>

С практической точки зрения — это вопрос опять же к форензикам, отделу К и т.д. С теоретической точки зрения — элементарно: официальный запрос в азиатскую страну, и ISP VPN-сервера выдаёт полный список всех, кто коннектился, когда, сколько скачал трафика и т.д., даже логов с самого VPN-сервера не потребуется. Дальше понять who is who — дело техники. Сабж обсуждался в /faq/anonimnostjobschievoprosy#h37444-4. Вот если бы ваш сервер являлся скрытым ресурсом Tor, а клиент — Tor-клиентом, был бы другой разговор. Почитайте разделы /faq'а (посвящённые анонимности) на этом сайте.
— unknown (20/02/2012 10:53)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это больше выглядит как частный случай: "Хочу, чтобы у меня всё было и мне за это ничего не было".
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3