Мы поддерживаем какие-то маршрутизаторы Cisco и должны подключаться через агента Cisco NAC. Служба технической поддержки моего университета говорит мне, что если я подключу маршрутизатор, «все здание потеряет доступ к Интернету». Мне действительно трудно в это поверить, и я хотел бы знать: 1. Могут ли они сказать, использую ли я маршрутизатор, и 2. Как они могут даже определить, использует ли маршрутизатор NAT?
networking
routing
Тэрин
источник
источник
Ответы:
Добавляя к (правильному) ответу PulpSpy, также можно обнаружить маршрутизаторы (NAT или нет), просматривая поле TTL исходящих IP-пакетов. Конечные станции обычно устанавливают TTL на известный номер, такой как 64, 254 или несколько других альтернатив в зависимости от ОС. Когда большинство пакетов на единицу меньше этого, например 63 и т. Д., Это указывает, что между маршрутизатором произошел скачок.
источник
Да, они, вероятно, могут сказать. NAT-маршрутизация переназначит все номера портов, чтобы сохранить, какой трафик исходил с какого компьютера напрямую. В результате ваш трафик будет выглядеть странно, и когда подключено более одного компьютера, они обычно находятся на соседних портах. Это не было бы доказательством, но достаточно, чтобы привлечь внимание, если бы они специально проверяли это.
источник
В дополнение к TTL, уже упомянутому в других ответах, они могут использовать отпечаток DHCP вашего маршрутизатора, когда он получит IP-адрес от своего порта WAN.
Я знаю это, потому что я работаю над NAC PacketFence с открытым исходным кодом (конкурент Cisco NAC), и мы используем такие приемы.
Вот список распознанных отпечатков DHCP в PacketFence: http://packetfence.org/dhcp_fingerprints.conf
Мы знаем, что он также используется другими продуктами.
источник
Они могут определить, является ли ваше устройство маршрутизатором, если оно передает пакеты маршрутизации (RIP, OSPF), и по MAC-адресу внешнего интерфейса Ethernet.
Любой интерфейс, который передает это устройство Cisco (или другой поставщик маршрутизатора), привлечет внимание.
Получайте удовольствие от учебы и старайтесь не отстать в процессе!
источник
Мне трудно поверить, что сетевые архитекторы в университете сделали бы себя уязвимыми перед ПОЛНЫМ отказом сети в случае, если студент подключит маршрутизатор к своей розетке в комнате в общежитии. Вероятность того, что студент попробует такое, довольно высока (посмотрите этот пост, например).
Бритвенный ответ Оккама заключается в том, что парень из службы технической поддержки, вероятно, просто пытался напугать вас, а не сказать, что он просто не знал.
Более того, в одноранговой архитектуре (в отличие, скажем, от SNA, где вы МОЖЕТЕ уничтожить всю сеть, выдавая себя за NCP), вероятность чего-то вроде конфликта устройств, вызывающего полный сбой сети, довольно низка. МОЖЕТ БЫТЬ, что вашему маршрутизатору так или иначе будет дан (или вы определите его сам) ЖЕ ip-адрес одного из собственных распределительных узлов здания общежития, но также МОЖЕТ БЫТЬ, что астероид поразит ваше здание.
Но давайте предположим, что это происходит: пока маршрутизатор cisco не перезагружается, ничего не происходит, и ваш маршрутизатор просто жалуется, что не может установить правильное соединение. Кроме того, маршрутизатор cisco, вероятно, сообщит о дублировании коллизии IP-адресов в журнале (который заметят операторы или сетевые администраторы).
источник