Мы поддерживаем какие-то маршрутизаторы Cisco и должны подключаться через агента Cisco NAC. Служба технической поддержки моего университета говорит мне, что, если я подключу маршрутизатор, «все здание потеряет доступ к Интернету». Мне действительно трудно в это поверить, и я хотел бы знать: 1. Могут ли они сказать, если я использую маршрутизатор и 2. Как они могли даже сказать, использует ли маршрутизатор NAT?
5 ответов
8
Добавив к (правильному) ответу PulpSpy, также можно обнаружить маршрутизаторы (NAT или нет), просматривая поле TTL исходящих IP-пакетов. Конечные станции обычно устанавливают TTL на известный номер, такой как 64, 254 или несколько других альтернатив в зависимости от ОС. Когда большинство пакетов на единицу меньше этого, например 63 и т.д., Это указывает, что между маршрутизатором произошел скачок.
5
Да, они, вероятно, могут сказать. NAT-маршрутизация переназначит все номера портов, чтобы сохранить, какой трафик исходил с какого компьютера напрямую. В результате ваш трафик будет выглядеть странно, и когда подключено более одного компьютера, они обычно будут на соседних портах. Это не было бы доказательством, но достаточно, чтобы привлечь внимание, если бы они специально проверяли это.
3
В дополнение к TTL, уже упомянутому в других ответах, они могут использовать отпечаток DHCP вашего маршрутизатора, когда он получит IP-адрес от своего порта WAN.
Я знаю это, потому что я работаю над NAC PacketFence с открытым исходным кодом (конкурент Cisco NAC), и мы используем такие приемы.
Вот список распознанных отпечатков DHCP в PacketFence: http://packetfence.org/dhcp_fingerprints.conf
Мы знаем, что он также используется другими продуктами.
1
Они могут определить, является ли ваше устройство маршрутизатором, транслирует ли оно пакеты маршрутизации (RIP, OSPF), и по MAC-адресу внешнего интерфейса Ethernet.
Любой интерфейс, который передает это устройство Cisco (или другой поставщик маршрутизатора), привлечет внимание.
Удачи в обучении, и постарайтесь не отстать в процессе!
0
Мне трудно поверить, что сетевые архитекторы в университете сделали бы себя уязвимыми перед ПОЛНЫМ отказом сети, если студент подключит маршрутизатор к розетке в комнате в общежитии. Вероятность того, что студент попробует такое, довольно высока (посмотрите этот пост, например).
Бритвенный ответ Оккама заключается в том, что парень из службы технической поддержки, вероятно, просто пытался напугать вас, а не сказать, что он просто не знал.
Более того, в одноранговой архитектуре (в отличие, скажем, от SNA, где вы МОЖЕТЕ уничтожить всю сеть, выдавая себя за NCP), вероятность возникновения какого-то конфликта между устройствами, приводящего к полному отказу сети, довольно мала. МОЖЕТ БЫТЬ, что вашему маршрутизатору так или иначе будет дан (или вы определите это сам) ЖЕ ip-адрес одного из собственных распределительных узлов здания общежития, но также МОЖЕТ БЫТЬ, что астероид поразит ваше здание.
Но давайте предположим, что это происходит: пока маршрутизатор cisco не перезагружается, ничего не происходит, и ваш маршрутизатор просто жалуется, что не может установить правильное соединение. Кроме того, маршрутизатор cisco, вероятно, сообщит о дублировании коллизии IP-адресов в журнале (что заметят операторы или сетевые администраторы).