Отследить машину с натом
 

Как можно отследить машину с натом или прокси? Чтоб не качали все через одного.

У вас локальная сеть в сельской местности?
Было где-то, не помню уже где. Кажется на Opennet.ru.
Только вынес мнение, что это возможно. Каждая программа выходящая в интернет через прокси оставляет хвосты. Если в запросах (header) версия броузера различается ( за 5-10 сек.) Надо следить за исходящей информацией.

может это и метод, но он ничего не дает. Если учитывать политику некоторых сайтов затачивать страницы под конкретный броузер (для примера IE), то достаточно часто приходится пользоваться несколькоми броузерами одновременно.

2SLAD
Судя по вопросу ты не имеешь доступа к машинам в сети. Так что даже если ты получишь информацию, которая позволит предположить (именно предположить, а не быть уверенным), что есть прокси или нат это ничего тебе не даст. такое организуют практически всегда люди подкованные в техническом плане и чаще всего в правовом. даже если ты добъешься доступа к машине (что далеко не факт) и там будет нат или прокси это опять же тебе ничего не даст. доказать, что был использован прокси или нат для корысных целей просто невозможно. Просто же отрубить машину от сети- не решение. можно получить много неприятностей с нарушением договорных обязательств.

Согласно договору только 1 машина может быть включена, и всякие наты нельзя, т.е. можем по договору отключать. Главное как найти, могут без прокси, просто нат юзать, тогда полей то и не будет.

orc
Я просто предположил один из методов.
В моей сети тоже борются с натами и проксями, вроде успешно. Вот только как они это доказывают, не знаю.

Igor_I
перечитай внимательнее дискуссии на opennet. Помню я их :) - приходиди к выводу, уже озвученному orc-ом - что можно только предположить, но утверждать ничего нельзя.

Тебе самому не смешно? В любой современной операционной системе есть нат. Так что же всех сразу отключить?

Вообще-то я могу предложить решение, которое может удовлетворить обе стороны. Внести в договор изменения (или доп. соглашение) , разрешающие использование нат, но в определенных условиях. Например с чуть большей абонентской платой (или привязанной к количеству подключаемых машин), да и деньги за его настройку брать не грех если подписчик сам не умеет. Я просто считаю близким к моразму подключать несколько домашних компьютеров к сети напрямую и при этом еще и следить за несколькими счетами. С другой стороны еще и проблем при обслужевании большего количества подписчиков увеличивается.

Может быть следующие слова и будут неприятны некоторым, кто работает в сфере ISP. Я заранее прошу прощения за это. Просто как наблюдение. Львиная доля работников даже отдаленно не представляет что такое связь. Чтобы обидет связиста нужно его просто назвать "интернетчик". Может быть хватит маяться дурью и начинать читать книги о том, чем занимаемся?

mar
Я вообще далек от всего этого.
Но вот администрация моей сети утверждает обратное. Более того, даже приступила к действиям, к отключениям.
Может цитаты я потом приведу.
Одна из них - Ваш шлюз знает кому посылать пришедшие пакеты, так почему мы не можем это узнать?
orc
Слава богу, дело сдвинулось с мертвой точки. В которой она была последнее время у нас. И именно в этом направлении.
SLAD
В общем orc говорит правильно. Надо разрешить НАТ., потому как это просто вление времени. КПК, ноутбуки, телефоны, Virtual PC. Проводить дополнительный кабель и платить полноценную аб. плату просто никто не захочет.
А секрет АнтиНата открывать не хотят - взломают.

Наличие ната в системе не значит что все его используют поголовно. Согласен, для дома вывести бук или второй комп, но если из под ната выводят сетки по 50 компов?

Если выводят много компов из под ната - трафик увеличивается = увеличивается прибыль. Я так думаю, кто-то тупит.

Помимо трафика есть еще абонентсчкая плата, или это ни о че не говорит?
Имхо я даже знаю кто тупит.

Предлагаю взвесить за и против (50 компов).

Против:
1 не платится абонплата

За:
1 меньше нагрузка на тех поддерку.
2 если возникают проблемы технического характера, то проще общаться с одним спициалистом, чем с 50 технически неграмотными пользователями.
3 экономия ресурса средства доступа (свичи они себе уже купили).
4 экономия на кабельном ресурсе (как-то же они подключились?).

Теперь с деньгами. потери как будто ясны. абонплата за 50 абонентов (если абонплата $2 в месяц, то это $100). Но нужна телефонная техподдерка, работа кабельщика, админа (зависит от зарплаты работников, количества абонентов, развитости сети и т.д.). Ежу понятно, что нельзя сидеть одновременно на телефоне и тянуть кабели. вот и считайте. 2 человка нужно по-любому. Предположим, что для компании это $100 в месяц.
Свичи так же нужно купить ($100).

таким образом предпочесть получать $100 в месяц и тратить $100 (минимум) единоразово и минимум $100 каждый месяц альтернативе просто получать деньги за дополнительный трафик просто верх легкомыслия.

На мой взгляд такого человека просто нужно брать в локальный суппорт в районе, продавать ему трафик по сниженной цене и молится, что бы он не бросил выполнять за вас всю грязную работу. Причем заметьте практически бесплатно.

Трафик от этого не увеличится - безлимитка, поэтому от того что там добавится хоть еще 1000 человек толку не будет нам.

Igor_I
я тебе кинула в PM несколько мыслей по поводу твоего админа (или провайдера) - загляни
SLAD
Давайте не хамить человеку, который пытаются Вам ответить и делает это, кстати грамотно и с точки зрения технологии администрирования сетей в том числе. У Вас, извините, скорей подход мененджера по продажам. Если жаба душит по поводу безлимитки, то объявите, что при превышении такого-то трафика насколько-то там вы режете скорость. Люди будут предупреждены и сами будут соображать, что им выгодней. (Кстати, мой провайдер webplus в Питере так и поступил - никаких претензий у меня к нему нет. Я об этом правиле предупреждена, знаю и поэтому дома еще одну машину воткну спокойно, а подключать соседей уже призадумаюсь)

Всем спасибо за участие, можно поставить точку, ибо нет смысла развивать дальше тему без технических ответов.
mar Это еще посмотреть надо кто начал хамить.

ps Вопрос был как технически определить нат, а не гадать по трафику и т.д.

Первым признаком Nat-а является постоянный трафик и разные версии браузеров в статистике прокси-сервера (на прокси-сервере это очень хорошо видно). Так что можно организовать доступ подозреваемой машины через прокси-сервер (в обязательном порядке) и тогда делать выводы.

SLAD
Я так понял - это тайна. :) Одни думают, что это невозможно. Другие энают как сделать, но не торопятся первых разубедить.
В вашем случае нужен человек знающий теорию, но свободный от стереотипов.
В принципе я бы промолчал, если бы не один случай. Не помню уже на каком сайте, решил пощелкать по тестам. Система - ХР, браузер - Опера. В ХР интернет расшарен еще на 2 компа. FreeBSD и ХР. Браузер определился правильно - Опера, а вот система определилась - FreeBSD. И это через НАТ.
Если есть у кого объяснения - выслушаю.

Igor_I
Для объяснений неплохо бы знать, через что расшарен интренет.

http://forum.oszone.net/showthread.php?p=367645
Через штатную возможность ХР.

Вот и пришли к тому, что же нужно... :-)

Я тоже щелкал как-то по тестам - результат мне сообщили тот же, что и браузер сообщил серверу. А вот имя почтового сервера соврали. Взяли его, судя по всему, из MX-записи DNS прова, ан, у меня есть другой через другой канал, которым я и пользуюсь. А насчет теоретически подкованного человека скажу, что должен несколько и практику знать. Относительно текущей темы это проявится в том, что человек будет знать работу протокола TCP/IP, а вот про то, что реализация стека данного протокола в различных OS отличается (так называемые отпечатки) вовсе и не обязательно. Не знаю, можно ли тут присобачить временные отметки. Да и не проверял, только ли NAT меняет адреса или еще чего с пакетом делает (пересобирает по своему механизму, например, тогда читай статью "против лома..."). В любом случае, если "халявщики" сидят на одной OS, то будет веселее (читай в разы сложнее) (каждый радуется своему счастью :-) ).

З.Ы. Да, кстати, то, что за "стеной" несколько компов не означает использование ими только браузера и все. Есть ICQ, e-мыло, KAD'ы там различные и еMule'ы, IRC и куча, куча, куча всего прочего...

IgorK
ок, раз слова (про временные отметки) были названы, озвучу прилюдно, то, что писала Igor_I в PM:
Про отпечатки ос. Да какая проблема? ну изобразим все дружно и разом, что сидим... ну, например под dos3 Годится? :) И будет SLAD долго всех ловить =)
По поводу того, как определяет нас удаленный сайт IgorK в общем уже объхяснил: довольно много сообщает броузер, кое-что можно "посмотреть" снаружи, но при этом "видны" будут данные внешнего ip (та же MX - запись, например, или порты и прочее)

Удаленный сайт только посылает запросы, OC отвечает. Только и всего. Но даже он определил наличие другой системы.
Провайдер же контролирует абсолютно весь траффик. Конечно анализ весьма трудоемкая операция. Но ведь не обязательно анализировать постоянно. Можно сузить круг "подозреваемых". :) Ведь если нат появился, то он уже никуда не денется (если он конечно сделан именно для других компьютеров).
Еще один момент, ICQ (как клиент) может показывать внутренний IP.
Подделывать конечно можно все, главное знать, что и когда. :) Можно подделать ответ о версии ОС, TTL, еще что-то. Но может нат определяеться по другим признакам.
В конце-концов можно ведь просто блефовать. :)

Это открытые системы и протоколы. "Может быть" здесь неуместно. Можно проверить. Про вскрытие каждого пакета я уже писала. Если интересно - можете сами поанализировать. Протоколы tcp/ip не такие уж страшные - у меня в этом году студентка даже не универа, а коледжа (по старому - техникума) в дипломе делала генерацию анализ и пакетов.
Ну слава богу - догадались =)

!!!???
Я - пас!

Если нат настраивал сколько-нибудь грамотный специалист, то отловить это предложенными способами невозможно. Ну не далают профессианалы таких ошибок. И тем более не поддаются на простой блеф (если делаешь что-то несовсем законное все же готовишься заранее, что тебя могут поймать).

Если же хочется пойти на принцип, то нужно нанять специалиста по сетевой безопасности, который, возможно, статистическими методами с достаточно большой вероятностью (скажем большей 0.5) определит NAT. Но Вы, я искренне надеюсь, не думаете, что такой специалист будет работать за гроши? Да и нанимать его нужно будет официально. И человек этот должен обладать неким сертификатом, подтвержающим, что он может давать заключения. Ну и тогда в суд...

Так что если уж лоханулись, не стоит терять лицо. Забудьте про мышыную возьню. Гораздо проще такие вопросы решаются полюбовно или в крайнем случае административно (в этом случае нужно крепко подумать).

orc
5 баллов! :) Подписывюсь :) Под всем, кроме одного: в суд все равно идти будет не с чем, потому, что 100% гарантии (вероятости) специалист все равно дать (вычислить) не сможет.
PPS - orc
так в предложенных способах сразу содержались предложения антиспособов :) На самом деле даже по snmp можно при желании "наружу" высовывать все, что угодно. Ну и вскрытие пакетов тоже не поможет (см выше), не говоря уж о том, что затраты явно превысят возможную выгоду. Так что утверждение:

Цитата:

Если нат настраивал сколько-нибудь грамотный специалист, то отловить это предложенными способами невозможно.

- абсолютно верно =)
зы по поводу блефа: мне реально приходилось сталкиваться с подобным поведением не слишком грамотных провайдеров/админов, расчитывающих на еще меньшую грамотность обычных пользователей. Лечится быстро и радикально - разговором в присутствии грамотных людей.