| Вопрос: И снова учёт траффика но с роутингом Обсудим? | Добавлено: 01.09.06 15:50 |
Автор вопроса:  student-uni
|
|
С учётом траффика собственно проблем нет.
Есть хороший пример Sniffer.zip от V2Software. Там наблюдается сетевой интерфейс. Видны все пакеты, исходящий и входящий Ай-Пи. Всё хорошо при прямом соединении. А как быть если: 1. Я соединился по ВПН. (пусть его IP 196.214.0.2) 2. образовался Виртуальный интерфейс (пусть Ip 10.0.0.2) 3. и я Проложил такой маршрут - все пакеты адресованные адресу напр 226.114.0.2 отправлять на виртуальный интерфейс (см выше его Ip 10.0.0.2 ) Это можно сделать простой командой в ДОСе ROUTE ADD 226.114.0.2 (как цель) MASK 255.255.255.255 10.0.0.2 (как GATEWAY) 4. Едем дальше - теперь я запускаю удалённое соединение RDP-1 которое настроено на мою цель - 226.114.0.2 5. Я повторяю пункты 3. и 4. для нескольких RDP-соединений. В результате, через один ВПН работает несколько РДП соединений. Внимание вопрос 1 : Как посчитать траффик по каждому РДП соединению ? Что выяснил пока я сам: Если вы попробуете проделать вышеуказанные пункты хотябы для 2-х РДП соединений и затем запустите сниффер с задачей наблюдать за Вашим сетевым интерфейсом то увидите чёткий входящий и исходящий траффик ВНИМАНИЕ между Вашим сетевым интерфейсом и ВПН-Ай ПИ. Но что из него принадлежит РДП-1 а что РДП-2 мы не видим. Теперь попробуем понаблюдать за виртуальным интерфейсом. УРА! Мы видим входящие пакеты и даже видим их отправителей - Ай-Пишники РДП-1 и РДП-2, НО мы не видим ни одного исходящего пакета !!! Таким образом проблемы считать входящий траффик нету. Вопрос 2 : Как получить исходящий траффик ? Вижу 2 способа решения 1. Всякий ВПН пакет есть обычный ТСП пакет в заголовке у которого заменены АйПи цели и отправителя на ВПН Ай Пи. Поэтому сниффер и не может распознать кому на самом деле адресован пакет. В случае когда мы наблюдаем физический интерфейс - мы видим только до ВПН сервера. (сетевухин АйПи-отправитель, ВПНАйПи-получатель) Когда же мы наблюдаем виртуальный интерфейс - то видим входящий траффик, тк адрес виртуального интерфейса это и есть тот адрес который стоит на месте адреса получателя в нормальном ТСП пакете, дальше ВПН вынимает из своего пакета нормальный ТСП и шлёт нам на сетевуху, но нас это уже не интересует. Входящий пакет мы ловим. А исходящего не видим, т.к. Виртуальный интерфейс не является отправителем. (Отправитель - наша сетевуха, но её Ай Пи в этот момент уже внутри ВПН пакета /наверно/.) Полагаю, если наблюдая за физической сетевухой и перехватывать пакеты, то можно внутри обнаружить, что помимо ВПН-АйПи стоящего на месте адресата глубже можно вырыть РДП-АйПи - тот АйПи куда пойдёт этот пакет дальше. и таким образом отличать пакеты идущие на РДП-1 от идущих на РДП-2. Вопрос 3 - реально ли изъять из ВПН пакета скрытый в нём цель-АйПи нормального ТСП пакета ? Решение 2 Писать нДИС-драйвер, но это Си. Пример есть в Майкрософт ДК, но там целый Файрволл. Может у кого есть примерчик по проще ? Может даже на ВБ ? Вопрос последний У кого есть какие предложения по решению проблемы ? Если непонятно изложил, задавайте вопросы. Спасибо всем проявившим интерес |
| Ответы | Всего ответов: 5 |
|
Номер ответа: 1 Автор ответа:  gvozd Разработчик Offline Client Вопросов: 164 Ответов: 1317 
|
Web-сайт: Профиль | | #1 | Добавлено: 02.09.06 09:31 |
| Сорри за офф-топ, кинь мне плз этот Sniffer.zip на мыло? | ||
|
Номер ответа: 2 Автор ответа: Neco ICQ: 247906854 Вопросов: 133 Ответов: 882 |
Web-сайт: Профиль | | #2 | Добавлено: 04.09.06 18:21 |
| Я пока ещё не начинаю рассуждать о проблеме - просто встречный вопрос: ты уверен, что vpn пакует всё в свои пакеты? может это просто что-то типа PAT (переадресации по портам)? Т.е. пришёл пакет на такой-то порт, он заменил ip и отправил дальше. Уходит пакет с такого-то хоста, он ставит ему свой ip, меняет порт отравителя и отправляет от своего имени (ip). ну а тело шифрует как туда так и обратно. я так думаю, так как иначе б ты вообще не должен был увидеть ipшников ни на вход ни на выход - они б внутри vpn-пакетов должны были б шифроваться. | ||
|
Номер ответа: 3 Автор ответа: student-uniВопросов: 122 Ответов: 257 |
Профиль | | #3 | Добавлено: 04.09.06 22:20 |
|
Но я же включаю Винодвсовское ВПН-соединение (Пуск-Настройка-сеть и удалённый доступ - создал новое ВПН соединение типа pptp, дал туда АйПи ВПН сервера. Что по твоему за пакеты бегают теперь между АйПи моей сетевухи и ВПН-Ай Пи ?
Я Вижу сниффером следующее один пакет типа TCP на ВПН один с ВПНа один на ВПН один с ВПНа а дальше идут туда сюда пакеты типа 47 Что это за номер пакета я не знаю. Вот перечень указанных в сниффере Public Enum Protocol Ggp = 3 Icmp = 1 Idp = 22 Igmp = 2 IP = 4 ND = 77 Pup = 12 Tcp = 6 Udp = 17 Other = -1 End Enum Может 47 это есть тип ВПН ? Я те на мыло этот снифер кинул. Попробуй понаблюдать какой нибудь виртуальный интерфейс и нормальную сетевуху ? Может чего поймёшь |
||
|
Номер ответа: 4 Автор ответа: student-uniВопросов: 122 Ответов: 257 |
Профиль | | #4 | Добавлено: 04.09.06 22:25 |
|
Переадресация ? Ну роутинг сам что ли ?
Это есть. Но это роли не играет. Если бы его небыло, то пакет просто шёл бы к цели как угодно, через интернет, всеми возможными путями. Я же установив роутинг ROUTE ADD 226.114.0.2 (как цель) MASK 255.255.255.255 10.0.0.2 (как GATEWAY)
говорю тем самымвсе пакеты адресованные адресу напр 226.114.0.2 отправлять на виртуальный интерфейс
|
||
|
Номер ответа: 5 Автор ответа: student-uniВопросов: 122 Ответов: 257 |
Профиль | | #5 | Добавлено: 05.09.06 15:03 |
|
Короче те пакеты которые я между Виртуалкои и РДП вижу - ето не весь трафик
но когда я его увидел - ето означает, что весь траффик которыи был до етого между сетевухои и ВпН - можно отнести к етому РДП Ха-Ха. |
||
Страница: 1 |