Gå til innhold

Mulig å sperre for router?

Konto brukes ikke

Av Konto brukes ikke
i Hjemmenettverk

Anbefalte innlegg

sjurtf

sjurtf

Skrevet
Skrevet (endret)

 

På mitt system tagges ta IP headeren med 255 - dette er meg bekjent vanlig på linux og mac os x.

 

Likt med hva som jeg har i windows 7 det.

Men ... jeg skjønner fortsatt ikke hvordan man da kan komme forbi via å endre på TTL på pc/enhet - dette må da i så fall endres i router, for man får vel ikke TTL høyere enn 255?

Går dette an i en 'vanlig' router da? (å åpne pakkene og sette ny TTL)

 

Det blir et problem om det bare er 255 som er tilatt, men det er sannsynelig at feks 127 eller andre verdier også er lov. Det kan man teste med å bruke programmet ping med opsjonen -T <verdi>.

 

Er det kun 255 som er lov, må det endres på ruter ja.

Alle pakkene blir jo "åpnet" og endret allerede i en hjemmeruter - NAT så det er ikke noe problem å modifisere.

 

DD-wrt ser ut til å kunne gjøre dette: http://www.dd-wrt.com/wiki/index.php/Iptables#Modifying_the_TTL

Endret av sjurtf
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
ChrisCo

ChrisCo

Skrevet
Skrevet (endret)

 

2. Kan du da forklare den dypere? Har ikke vært borti en sånn type sperre før og klarer heller ikke se hvordan det skal kunne fungere i praksis, annet enn internt på et LAN... Skal man ut på nettet, så er det ganske kurrant at pakkene har såpass høy levetid at de kan nå målet sitt... Har selv vært borti router som er på +- 30 hopp... Da er det greit at TTL er høyere enn antall hopp..... ;)

Har forsøkt å forklare deg dette tidligere i tråden:

 

Følg dette eksempelet basert på min maskin på ett tilfeldig nettverk, uten at jeg har ruter lokalt hos meg.

 

Den første ruteren jeg kommer til da - min GW (ISP sitt første L3 interface) forventer da at alle mine pakker inneholder verdien 255 i TTL feltet.

Har den 254 betyr det at jeg har hatt en egen ruter på lokalnettet mitt -> ISP dropper da alle pakkene på GW ruteren.

 

På denne ruteren har den en liste med tilatte TTL verdier, gitt fra hva som er de ulike OS standardene.

Har pakkene denne veriden, så blir de kastet.

 

 

 

Det blir helt feil... Man kan ikke forvente en maks verdi når det ikke er en universal standard... Sånn funker det ikke... Så dårlig eksempel... ;):p

 

 

 

jeg skjønner fortsatt ikke hvordan man da kan komme forbi via å endre på TTL på pc/enhet

 

Man kan ikke endre TTL.. Man kan endre Windows' standard verdi i registeret, det er det eneste, men det betyr heller ikke at alle pakker av ulik type, tagges med samme TTL verdi til en hver tid....

 

 

Men dette blir helt meningsløst å drive og diskturere... Dette har 99% sikkert ikke noe med TTL å gjøre i det hele tatt, men brukerfeil... Jeg har bedt TS om å redegjøre for oppsett og konfig, samt screenshots, 3 ganger, og TS har ikke gjort som bedt om... Og TS har også vist store mangler på kunnskap om dette...

 

Så konklusjon blir vil jeg si, at denne tråden legges på is inntil TS får satt opp ny router og lagt ut noe konkret dokumentasjon på eget oppsett.....

Endret av ChrisCo
Lenke til kommentar
sjurtf

sjurtf

Skrevet
Skrevet (endret)

Det blir helt feil... Man kan ikke forvente en maks verdi når det ikke er en universal standard... Sånn funker det ikke... Så dårlig eksempel... ;):p

Jo det kan man.

Pakker blir ikke sendt fra OSet med random verdi i TTL feltet, dette er fastsatt av en registerverdi og er samme - alltid.

Det er OSet sin jobb å handtere lag3 - det er ikke opp til diverse programmer sin implementasjon og bestemme. Sjekk http://noahdavids.org/self_published/TTL_values.html denne linken.

 

 

jeg skjønner fortsatt ikke hvordan man da kan komme forbi via å endre på TTL på pc/enhet

Man kan ikke endre TTL.. Man kan endre Windows' standard verdi i registeret, det er det eneste, men det betyr heller ikke at alle pakker av ulik type, tagges med samme TTL verdi til en hver tid....

 

Det han mener er hvordan han kan endre på OSet sin verdi, som brukes når det bygger pakker.

 

Men dette blir helt meningsløst å drive og diskturere... Dette har 99% sikkert ikke noe med TTL å gjøre i det hele tatt, men brukerfeil... Jeg har bedt TS om å redegjøre for oppsett og konfig, samt screenshots, 3 ganger, og TS har ikke gjort som bedt om... Og TS har også vist store mangler på kunnskap om dette...

 

Så konklusjon blir vil jeg si, at denne tråden legges på is inntil TS får satt opp ny router og lagt ut noe konkret dokumentasjon på eget oppsett.....

Nei, det er ikke meningsløst.

Det som er meningsløst er at du vil stoppe tråden, fordi du ikke henger med. Nå er det på nivå med at jeg er sikker på at du troller.

 

Nei, tråden trenger ikke legges på is - man kan teste med programmet ping og opsjonen -t som jeg har nevnt tidligere.

 

 

ping vg.no -t 254

TS vil da ikke få svar.

OSB: Hvis du tester ChrisCo får du svar.

Vg får pakken, og sender deg icmp echo reply med ttl satt til 255 når den sendes.

Endret av sjurtf
  • Liker 2
Lenke til kommentar
Heika98

Heika98

Skrevet
Skrevet

ChrisCo, jeg har ikke store kunnskaper om dette. Det blir over mitt kompetansenivå. Fra før er jeg bare vent til veldig basic nettverk og slik, og har enda mye å lære. Men jeg gjør mitt beste. Og hvordan mener du jeg skal ta screenshots av et oppsett som ikke eksisterer???

 

Jeg er helt enig, vi legger denne diskusjonen på is til jeg får router og så kan fortsette å diskutere da. Denne diskusjonen er da heller ikke relevant for mitt nettverk på hybelen da jeg kun trenger AP, men KarpeSkrotum lurte på hvordan de på skolen kan hindre med i å route et nettverk. Jeg kan finne alle verdier og prøve å komme rundt sperra til skolen straks jeg får routern for å gi KarpeSkrotum svar på sprøsmålet sitt, men som sagt, jeg er fornøyd bare jeg får AP slik at jeg har WIFI også.

Lenke til kommentar
Konto brukes ikke

Konto brukes ikke

Skrevet
  • Forfatter
Skrevet

ChrisCo, jeg har ikke store kunnskaper om dette. Det blir over mitt kompetansenivå. Fra før er jeg bare vent til veldig basic nettverk og slik, og har enda mye å lære. Men jeg gjør mitt beste. Og hvordan mener du jeg skal ta screenshots av et oppsett som ikke eksisterer???

Det var vel pga det hørtes ut som du hadde en router du hadde på lån som du ikke ville rote med settings på. Derfor ville han vel ha bilder av settingen der og utifra det se hva grunnen var til at det ikke virket.

 

Jeg kan finne alle verdier og prøve å komme rundt sperra til skolen straks jeg får routern for å gi KarpeSkrotum svar på sprøsmålet sitt, men som sagt, jeg er fornøyd bare jeg får AP slik at jeg har WIFI også.

Var det ikke flere som lurte på skolen da?

Men flott at du vil teste litt - læring for oss alle det.

 

Men du kan jo teste fra PC'en din som nevnt av @sjurtf

 

Med CMD skriver du: ping vg.no -t 255

Får du da svar?

Med CMD skriver du: ping vg.no -t 254

Får du svar da?

 

  • Liker 1
Lenke til kommentar
Heika98

Heika98

Skrevet
Skrevet (endret)

 

ChrisCo, jeg har ikke store kunnskaper om dette. Det blir over mitt kompetansenivå. Fra før er jeg bare vent til veldig basic nettverk og slik, og har enda mye å lære. Men jeg gjør mitt beste. Og hvordan mener du jeg skal ta screenshots av et oppsett som ikke eksisterer???

Det var vel pga det hørtes ut som du hadde en router du hadde på lån som du ikke ville rote med settings på. Derfor ville han vel ha bilder av settingen der og utifra det se hva grunnen var til at det ikke virket.

 

Jeg kan finne alle verdier og prøve å komme rundt sperra til skolen straks jeg får routern for å gi KarpeSkrotum svar på sprøsmålet sitt, men som sagt, jeg er fornøyd bare jeg får AP slik at jeg har WIFI også.

Var det ikke flere som lurte på skolen da?

Men flott at du vil teste litt - læring for oss alle det.

 

Men du kan jo teste fra PC'en din som nevnt av @sjurtf

 

Med CMD skriver du: ping vg.no -t 255

Får du da svar?

Med CMD skriver du: ping vg.no -t 254

Får du svar da?

 

 

 

post-280604-0-70959500-1410190478_thumb.png

 

TTL er tydeligvis 233

Endret av Heika98
Lenke til kommentar
sjurtf

sjurtf

Skrevet
Skrevet

Her har du bommet litt på testene dine.

233 er verdien du får tilbake fra vg.no. vg.no bygger en ny ICMP pakke, og de bruker 255 som standard.

Når du får svar så pinger du vg.no helt vanlig.

 

Du ser jo at du får en feilmelding fra programmet ping om at du bruker -t feil.

 

I windows er det -i som brukes for å sette ttl feltet.

Du skal altså teste følgende i cmd:

"ping -i 255" og "ping -i 254"

 

Post screenshot igjen ettepå =)

Lenke til kommentar
sjurtf

sjurtf

Skrevet
Skrevet (endret)

 

Du skal altså teste følgende i cmd:

"ping -i 255" og "ping -i 254"

Ikke pinge vg.no? "ping vg.no -i 255" og "ping vg.no -i 254" ?

 

Jo selvfølgelig - missa visst hosten.

 

Man kan også velge om man skal ha host først, eller etter options ser det ut som.

Alternativ: "ping -i 255 vg.no" og "ping -i 254 vg.no"

Endret av sjurtf
Lenke til kommentar
sjurtf

sjurtf

Skrevet
Skrevet

 

 

Ny screenshot

Da mangler du bare å prøve med 254

 

 

Gjorde det, det er det jeg skrev på den øverste, det ble bare ikke med i screenshoten at jeg skrev 254.

 

Hmm..

 

Kan du prøve med "-i 3" - for å verifisere at det fungerer å ha -i etter host.

Ellers så resultatene dine her ut som om det ikke er noe form for acl på ttl.

 

For sikkerhetsskyld:

Du tester nå i samme nettverksport hvor det tidligere ikke fungerte når du satt en ruter i?

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet (endret)

Er jo det jeg har prøvd å si hele tiden, sjurtf... Det spiller ingen rolle hvilken TTL verdi man pinger med, så lenge den er lik eller større enn antall hopp til målvert... Og TTL verdien man får tilbake, er heller (nødvendigvis) ikke differansen mellom antall hopp og 255..

 

Ping mot vg.no (8 hopp - TTL = 64) - varierer mellom 247 og 248 tilbake

Ping mot db.no (7 hopp - TTL = 64) - gir 249 tilbake

Ping mot sol.no (10 hopp TTL = 64) - gir 55 tilbake

 

Og som jeg også har poengtert, å skulle sette TTL begrensning på trafikk som skal ut på Internett, vil bare sørge for at man garantert ikke får kontakt med en eneste server på utsiden av nettverket man sitter på...

 

Så dette er ikke TTL begrensning, men enten feil med routeren, brukerfeil av TS eller noe annet i den duren....

Endret av ChrisCo
Lenke til kommentar
sjurtf

sjurtf

Skrevet
Skrevet

Er jo det jeg har prøvd å si hele tiden, sjurtf... Det spiller ingen rolle hvilken TTL verdi man pinger med, så lenge den er lik eller større enn antall hopp til målvert... Og TTL verdien man får tilbake, er heller (nødvendigvis) ikke differansen mellom antall hopp og 255..

 

Ping mot vg.no (8 hopp - TTL = 64) - varierer mellom 247 og 248 tilbake

Ping mot db.no (7 hopp - TTL = 64) - gir 249 tilbake

Ping mot sol.no (10 hopp TTL = 64) - gir 55 tilbake

 

Og som jeg også har poengtert, å skulle sette TTL begrensning på trafikk som skal ut på Internett, vil bare sørge for at man garantert ikke får kontakt med en eneste server på utsiden av nettverket man sitter på...

 

Så dette er ikke TTL begrensning, men enten feil med routeren, brukerfeil av TS eller noe annet i den duren....

Igjen viser du at du ikke har forstått hvordan denne sperren fungerer.

 

Det handler ikke om å sette en TTL begrensning, eller forhindre at man ikke kan nå alt som finnes på internett. Det handler om å inspisere TTL feltet i IPheaderen på det ingående interfacet på en ruter på lik linje med å inspisere dest address feltet i IPHeaderen, og basert på dette gjøre et valg.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...