Útok přes NAT?

**Kema** · 24.12.2003, 12:20

Všechny zdravím.
Mám takovou drobnou otázečku. Internet mám přes WIFI, zaznamenal jsem několik útoků až odněkud ze Sydney. Útočník se zastavil na Norton Firewallu, nicméně když jsem to hlásil poskytovateli, tak prohlásil, že to není možné, že přes NAT se nikdo nedostane. Může mi někdo osvětlit, jak to tedy je?
Mimochodem útočník nedal pokoj, tak jsem musel zakázat jeho IP, pak už byl klid.

**Hardman** · 24.12.2003, 15:42

No - neni to tak docela pravda - pres NAT se nekdy dostat da... Nazyva se to napr. IP Spoofing (zjistovani LAN IP), Land Attack, Ping of Death, IP with zero length, Smurf Attack, UDP port loopback, Snork Attack, TCP null scan, and TCP SYN flooding - to sem okopcil z myho routeru - sekce Intrusion Detection pod Firewall - cili logovat a zachytavat pakety pri zjisteni techto pokusu o utok. Po pravde receno ani nevim, co vsechny ty utoky znamenaji... Ale je jisty, ze ten prvni a posledni mam v logu prakticky furt... Nekdy jsou ty utoky domnele, protoze treba hapruje u nich DHCP, ale vetsina je pravda ... Samotnej NAT neni jeste vyhra, chce to jeste firewall.

**Gargamel** · 24.12.2003, 16:48

No, da se to, pokud nekdo vyuzije navazaneho spojeni, ktere vyslo ze stanice za NATem. Tohle pak nezastavi nic, ani sebelepsi firewall (ten s tim taky nema co delat). Ale takovy utok se realizuje hodne spatne, napadeni prichazi v uvahu jen na nekterych protokolech.

**Rainbow** · 24.12.2003, 16:56

Pokial nevyuzijes uz existujuce otvorene spojenie, neda sa zvonku nijako komunikovat s pocitacmi za NATom - lebo nemaju adresu. Jedine hacknut stroj, kde bezi NAT

Samozrejme, pokial je NAT u providera, tak to bezpecne nie je - vsetci znutra siete ta normalne vidia. Ja mam NAT jeden u providera a druhy v obyvacke, takze to mam dostatocne zabezpecene

**Kema** · 24.12.2003, 22:00

No tak to je výborný, teoretická možnost, že se ke mě někdo dostane je dle toho, co jsem si zde přečetl, dost malá a přitom si ten pitomec ze Sydney útočí na můj počítač jako by se nechumelilo. Ještě aspoň ten Systemworks za něco stojí...

**Glottis** · 25.12.2003, 10:33

utoci

a co prosim te delal tak drsneho?

**Kema** · 25.12.2003, 10:53

Původně odeslal Glottis

utoci

a co prosim te delal tak drsneho?

Bože to je dotaz. Ty bys asi byl štěstím bez sebe, kdyby se ti někdo cizi pokoušel dostat do počítače, že? No a naštestí nic drsného neudělal, když se ke mě nedostal, ne?

**Glottis** · 25.12.2003, 13:48

chytracek co? myslim najakou sluzbu utcil, co delal a tak

**globalkiller** · 25.12.2003, 14:03

Původně odeslal Rainbow

Ja mam NAT jeden u providera a druhy v obyvacke, takze to mam dostatocne zabezpecene

A co když tě napadne někdo z interní sítě

To já bych to řešil tak,že nasednu do auta pojedu ho hacknout ručně

No a protože to mám podobně jako Rainbow tak kdyby se dostal až ke mě a něco roze*ral tak co Norton Ghost/Router Image CD a je za 5minut čisto

Ale úplně nejlepší je mu odpojit kabel nebo anténu to se pak chlapec v Sydney bude moct po.srat jak máš dokonalej firewall

**Kema** · 25.12.2003, 15:51

Původně odeslal globalkiller

Původně odeslal Rainbow

Ja mam NAT jeden u providera a druhy v obyvacke, takze to mam dostatocne zabezpecene

A co když tě napadne někdo z interní sítě

To já bych to řešil tak,že nasednu do auta pojedu ho hacknout ručně

No a protože to mám podobně jako Rainbow tak kdyby se dostal až ke mě a něco roze*ral tak co Norton Ghost/Router Image CD a je za 5minut čisto

Ale úplně nejlepší je mu odpojit kabel nebo anténu to se pak chlapec v Sydney bude moct po.*** jak máš dokonalej firewall

Mám komplet balík Systemworks 2003 a antivirem 2004, pravidelná aktualizace a test od Symantecu, takže jsem zatím klidný, jenom mě nas*alo, že se ke mě furt někdo dobývá a firewall řve. A zajímalo mě, jak je to s tím NATem.

2Glottis: mrknu se po tom do logu, jestli to tam někde ještě najdu.

**-=HaDeS=-** · 30.12.2003, 20:44

Původně odeslal Kema

2Glottis: mrknu se po tom do logu, jestli to tam někde ještě najdu.

No to by si mohol, zaujima to aj mna. Ja sice prevadzkujem Keria, ale som zvedavy o co tam slo.

**Fox!MURDER** · 30.12.2003, 21:43

ajeje ... nekdo nekoho pingnul a hned je to hackovani

uz cekam kdy se zacnete udavat na BIS ze vas na ulici nekdo pozdravil ...

**globalkiller** · 30.12.2003, 22:02

Původně odeslal Fox!MURDER

ajeje ... nekdo nekoho pingnul a hned je to hackovani

uz cekam kdy se zacnete udavat na BIS ze vas na ulici nekdo pozdravil ...

Ale kde sebral jeho IP v Sydney

Dost blbý pingat z Austrálie do Čech víte přes co všecho to musí projít

**Fox!MURDER** · 30.12.2003, 22:08

1: hacked.dkm.cz (62.24.64.133) 0.258ms pmtu 1500
1: 2hopsem-v11.dkm.cz (62.24.64.253) 1.018ms
2: 1hopsem-v103.dkm.cz (62.24.68.81) 1.113ms
3: prag-b1-geth3-0.telia.net (213.248.79.69) asymm 4 1.289ms
4: hbg-bb1-pos1-3-2.telia.net (213.248.64.181) asymm 6 14.953ms
5: kbn-bb1-pos2-0-0.telia.net (213.248.64.29) asymm 6 20.497ms
6: nyk-bb1-pos0-1-0.telia.net (213.248.64.22) asymm 7 101.082ms
7: sl-gw27-nyc-9-2.sprintlink.net (144.223.27.145) asymm 8 100.992ms
8: sl-bb24-nyc-15-0.sprintlink.net (144.232.7.25) 100.746ms
9: sl-bb25-nyc-10-0.sprintlink.net (144.232.13.182) asymm 10 101.922ms
10: sl-bb24-chi-2-0.sprintlink.net (144.232.9.156) 124.843ms
11: sl-bb24-chi-14-0.sprintlink.net (144.232.26.81) 124.915ms
12: sl-bb21-sea-1-0.sprintlink.net (144.232.20.156) asymm 13 168.352ms
13: sl-bb20-sea-15-0.sprintlink.net (144.232.6.89) 168.198ms
14: sl-bb22-tac-6-0.sprintlink.net (144.232.9.151) 169.090ms
15: sl-bb21-tac-4-0.sprintlink.net (144.232.17.93) asymm 16 169.684ms
16: sl-gw6-tac-10-0.sprintlink.net (144.232.17.1) 168.971ms
17: sl-splkc2-1-0.sprintlink.net (160.81.229.146) asymm 15 173.222ms
18: ge3-2.1000.cor01-west-sea.comindico.net (203.194.0.157) asymm 13 171.575ms
19: pos3-0.155.cor01-broo-scn.comindico.net (203.194.0.189) asymm 17 321.370ms
20: pos5-2.155.cor01-kent-syd.comindico.net.au (203.194.0.181) asymm 16 320.963ms
21: pos1-0.cor01-kent-syd.comindico.com.au (203.194.25.49) asymm 15 322.202ms
22: content-delivery-syd.comindico.net.au (203.194.26.6) asymm 16 322.281ms

jen nejakejch 22 hopu ... to nic nejni

a) jinak pres dobre nastavenej nat se zpatky dostat neda
b) moh to bejt klidne nekdo na LAN s virem kterej spoofuje ip
c) to cos tam vokopiroval za utoky tak z toho vicemene nic prez nat neproleze (a stejne sou to vsechno spis DoSy)
d) proc tohle vubec resite? jestli je to pc dobre zabezpeceny tak se neni ceho bat a jestli neni tak tomu tady na foru stejne nepomuzem ...
e) mas opravdu ipcko z nejakyho privatniho subnetu ? (192.168.0.0/16, 10.0.0.0/8 172.16.0.0/16)

**Rainbow** · 30.12.2003, 22:08

A ked si dam napriklad ping www.google.com, tak to ide kade? Vobec ma to nezaujima, hlavne, ze to funguje.
A este raz opakujem: pingnut niekoho za NATom je poriadna sprostost.

**Vodicka** · 31.12.2003, 09:38

A z jaky adresy to teda slo ? (nikde to tu nevidim napsany)
203.194.26.6 se hlasi jako cisco 7206VXR (je u Comindico - provozuje datove site v Au, blize viz. www.comindico.com.au)

**Fox!MURDER** · 31.12.2003, 11:46

tady akorat nekdo resil kudy to jde do australie, tak jsem si vybral nejaky ip v australii

**globalkiller** · 31.12.2003, 12:33

Původně odeslal Fox!MURDER

tady akorat nekdo resil kudy to jde do australie, tak jsem si vybral nejaky ip v australii

Takže slepá mapa

,občas se divim kudy všude to probíhá

**a_WerOOn** · 31.12.2003, 13:22

osvetlete "lame" vyraz slova NAT..,.

dikes all ...

**Fox!MURDER** · 31.12.2003, 13:28

NAT - Network Address Translation - Preklad sitovych adres
zjednodusene to dela to ze pokud posles nejakej paket skrz router kterej ma zaplej NAT tak se jeho zdrojova adresa prepise na vystupni adresu toho routeru a kdyz se ti pak vraci odpoved tak se zase cilova adresa prepise ze vstupni adresy routeru na tvoji adresu. (vicemene to umoznuje provozovat hromadu pocitacu jen s jednou internetovou IP)

**a_WerOOn** · 31.12.2003, 13:35

diky.. moc..

tak to ja na routeru mam a je to spojeny s firewalem..
a na stanici mam taky firewal... Kerio

tom uz je snad dostatecna ochrana ne..??

**Lipo** · 31.12.2003, 13:51

Nevim co tady resite precim se chcete porad branit mmyslite ze nekho zajimaj naky filmy nebo gamesy ?(netyka se vsech kdo programuje nebo tvori na PC ) ze by si treba utocnik ze sydny potahal nakej film ? Myslim ze kazdej ma zaplejch 20 fajrvolu a zbytecne .Jak si vubec poznal ze se jedna o utok ? a ze je ze sydnye ? Myslim ze je zbytecne to tu resit..

**Vodicka** · 31.12.2003, 14:58

Bral jsem to spis jako zajimavy dotaz, zda je NAT (obecne) dostatecna ochrana (podle me neni) a jak se pres nej dostat. Ja se taky chci branit ruznym srackam jako je Slammer, RPC attack, vycucavacum cisel kreditek, zlutym linkam ... apod (tohle neni tento pripad).

Jinak google, altavista a dalsi vyhledavace si take musej pravidelne "prolezt" (proscanovat) cely web, aby si mohly udrzovat svou databazi indexu, tak se nedivte, ze si porad na vas nekdo pinga (a nijak mi to nevadi).

**Rainbow** · 31.12.2003, 15:06

NAT sa robi v Linuxe cez iptables. Takze sa to da pekne spojit s firewallom - zakazat vsetko a povolit zvnutra vytvarat spojenie smerom von a zvonku povolit pakety, ktore patria k existujucemu spojeniu. Proti IP spoofingu ma Linux rp_filter, takze ho je dobre zapnut.
Proti cervom a podobnym srackam to chrani na 100% (ale len zvonku! takze ked ti to prijde mailom a spustis to, tak to za chvilu bude na vsetkych PC v sieti). Jednoducho povedane, znutra von mozes robit vsetko, zvonku dnu nemoze nikto robit nic

Hladace nescanuju ziadne IPcky ale chodia podla linkov na strankach, takze robia akurat HTTP traffic.

**Vodicka** · 31.12.2003, 15:29

Původně odeslal Rainbow

Hladace nescanuju ziadne IPcky ale chodia podla linkov na strankach, takze robia akurat HTTP traffic.

To si rad necham vysvetlit.
A jak se teda dostanou na ty uvodni http adresy ? (maji nejakou databazi, kterou udrzuji rucne ?)
Znamena to tedy, ze kdyz budu mit web server a nikde na me nebude uverejneny link, zadny vyhledavac o me nevi ? (to si teda vyzkousim)

Téma: Útok přes NAT?

Nástroje témat

Zobrazení

Útok přes NAT?

Informace o tématu

Users Browsing this Thread

Pravidla přispívání