如何发现和防范内部网络的非法代理服务器和NAT(2)

如何从技术角度来侦测(或者反侦测)内部网非法的NAT

upsdn首页 > 系统与网络 > TCP/IP

非法代理服务器藏身之道
所谓道高一尺,魔高一丈
处于"正义"的一方的网络管理员都是处于劣势的,那些用户们玩出一些新花招了,偶们管理员们才会想着去如何应付。
在非法代理服务器这个问题也是如此,其实,可以有多种办法来隐藏代理服务器。
==========================

关于NAT的检测,要做到自动检测,有点难度,这个时候要用上SNIFFER了。

可以根据一些特征来判断:

1 流量持续稳定,比较大。
2 一个流由四个部分组成:源IP,源端口,目标IP,目标端口。
当发现这样的流---源IP相同,而源端口很多,而且是持续增长的,目标IP很多,目标端口是80
可以推测,这个是经过NAT转换的流。

分析客户的能力,一般私立NAT的服务器都是WINDOWS,而软件用的最多的是SYGATE和WINROUTE等。如果是在局域网内部的话,一般有两个网卡、或者是两个IP。

在确定嫌疑目标后,可以对他做进一步的检测。

================================

真正的浏览网页所需要的带宽根本不大,你觉得你的流量限制会在多少呢?100k/sec?
如果是这样的话,高手可以限制自己的代理服务器的最高上限流量,加上WEB Cache,代动5-10台Client,是没有任何问题的。

================================

(错误的观点)

 

 

寻找代理服务器最简单的方法就是在本机上进行跟踪:(这里专指IP层的代理服务器,与NAT或PAT功能相似)

1. 进入DOS状态,用Ipconfig命令看自己的IP,如果是一个私有IP,则访问Internet必须经过NAT或PAT。
2. 跟踪路由线路,用tracert 命令来查看路由出访Internet的线路,如下:
C:\>tracert www.hzcnc.com -d

Tracing route to www.hzcnc.com [218.108.250.243]
over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms 218.108.255.91
2 <10 ms <10 ms 10 ms 218.108.253.249
3 <10 ms <10 ms <10 ms 218.108.254.201
4 <10 ms <10 ms <10 ms 218.108.253.90
5 <10 ms <10 ms <10 ms 218.108.254.34
6 <10 ms 10 ms <10 ms 218.108.250.243

Trace complete.

如果使用代理出去的,那么第一跳必定是一个私网IP,并且一般来讲就是那台代服务器。

接下来就是要找到这台代理服务器的位置,这就更简单了
1. ping 代理服务器IP
2. arp -a 找出代理服务器的MAC
3. 通知网管代理服务器的MAC
4. 确定代理服务器相应的接入端口

==========================

在什么环境下来发现代理服务器再来谈这些好么?
另外你对Proxy和NAT的概念的确没有搞清楚
===========================

代理和NAT的区别我认为在于做代理或NAT的设备在这个事情上的角色。代理完全切断内外的联系,代理的客户端是把请求发给代理服务器,由服务器向目标主机发起请求;而NAT则是网络设备把数据包中的地址进行了处理,NAT inside直接把请求发给目标主机。

客户端连接的不是目标服务器而是代理服务器,然后由代理服务器以自己的身份向真实的服务器发起请求,然后接收回应,最后再把回应送给Client

NAT和PROXY最主要的区别是从七层协议来看,NAT是网络层(3),PROXY是应用层(7),而且,连接在NAT处没有中断(仅仅是转换),而在PROXY处,连接是完全中断的。

================

10个SESSION算多也不算多,而且和你的Internet接入速度有关。
比若偶看网页通常同时开N个窗口,若是网络速度慢的话,可能这N个窗口都会同时在连接,算上图片什么的,就算一个窗口同时两个SESSION,那么你开的这10个SESSION,偶只能同时开5个窗口,偶不造反才怪呢。若是加上一些下载狂人,经常用多点并发下载工具的,呵呵,10个SESSION真的是不够哦。

从HTTP Proxy来看,最关键是在于其Cache的命中率,若是好朋友,上网的习惯都差不多,上的可能都是那几个网站,而且HTTP Proxy可以配置成在空闲的时间自己去某些网站抓网页,考虑上这些因素,并发10个SESSION或许能够带动5台要求不太苛刻的客户端。

再说了,你用FIREWALL来控制10个SESSION,若是超过了10个SESSION怎么办?直接DROP掉?那样你的领导会时不时问你——怎么一些网站的图片现在总是显示叉叉啊?

偶觉得SESSION和流量可以作为判断代理的一个手段,但是以此为限制或者证据,可能网管会惹上更多的麻烦。
========================

nat转化的话,,那么肯定两块以上的网卡,,
所以,可以第一步,先利用扫描mac地址的方法,找到
多于两个ip的机器?

=========================

可以使用网管软件来发现,最近使用SNMPc在客户那里安装的时候,就发现几个网段,客户说ip add不是他们的,很奇怪为什么会有,当时心里一惊,还以为是这个网管不行,后来发现全是下面做的代理,非法上网,私设的网段。


============================

 

作者:xxbin   更新日期:2004-12-22
来源:bbs.netbuddy.org   浏览次数:

相关文章

相关评论   发表评论