Мой университет говорит мне, что я не могу использовать роутер в моем общежитии. Есть ли способ, которым они могут сказать?

8

Мы поддерживаем какие-то маршрутизаторы Cisco и должны подключаться через агента Cisco NAC. Служба технической поддержки моего университета говорит мне, что если я подключу маршрутизатор, «все здание потеряет доступ к Интернету». Мне действительно трудно в это поверить, и я хотел бы знать: 1. Могут ли они сказать, использую ли я маршрутизатор, и 2. Как они могут даже определить, использует ли маршрутизатор NAT?

networking routing Тэрин
источник
2
Я не думаю, что это была «угроза». Я подозреваю, что их сеть, как и многие другие, не может обработать второй DHCP-сервер (такой как обычный маршрутизатор), внезапно появляющийся в сети.
Rushyo
3 ответа с 10 голосами, но никто не проголосовал за вопрос; люди должны использовать upvote чаще :) +1 Upvote. В своей комнате я использую беспроводной маршрутизатор, который подключен к сети университета через Ethernet. Ethernet подключен к порту WAN. Пока проблем нет. И я подключил Macbook и iPod одновременно. Я думаю, что ключевая проблема у вас может быть, если вы не используете порт WAN. Но если вы используете порт WAN, все будет в порядке. Попробуй это.
Нериан
4
Я сомневаюсь, что это обрушит всю сеть, это всего лишь предупреждение, чтобы они могли на законных основаниях обвинить вас в любых проблемах, если вы пойдете против их предупреждения и политики. Нет причин запускать маршрутизатор в общежитии, просто используйте немой переключатель, если вам нужно больше портов.
Моав
Вы пытаетесь избежать покупки другого устройства? Если у вас 4-портовый DSL или беспроводной «маршрутизатор», помните, что такие устройства действительно являются коммутаторами и маршрутизаторами. Если вы отключите DHCP на устройстве, вы можете подключить школьное интернет-соединение к порту LAN, а другие устройства - к порту LAN и использовать его в качестве коммутатора. Ничего не подключайте к порту WAN.
LawrenceC

Ответы:

8

Добавляя к (правильному) ответу PulpSpy, также можно обнаружить маршрутизаторы (NAT или нет), просматривая поле TTL исходящих IP-пакетов. Конечные станции обычно устанавливают TTL на известный номер, такой как 64, 254 или несколько других альтернатив в зависимости от ОС. Когда большинство пакетов на единицу меньше этого, например 63 и т. Д., Это указывает, что между маршрутизатором произошел скачок.

Якоб Борг
источник
Это можно обойти, сбросив TTL на маршрутизаторе.
Богдан Максим
@ Богдан Конечно. Однако не многие домашние маршрутизаторы имеют такую ​​возможность, и это нарушает спецификации IP. И затем, конечно, они могли бы развернуть DPI и поймать вас, увидев различные заголовки HTTP User Agent и миллион других способов. :)
Якоб Борг
5

Да, они, вероятно, могут сказать. NAT-маршрутизация переназначит все номера портов, чтобы сохранить, какой трафик исходил с какого компьютера напрямую. В результате ваш трафик будет выглядеть странно, и когда подключено более одного компьютера, они обычно находятся на соседних портах. Это не было бы доказательством, но достаточно, чтобы привлечь внимание, если бы они специально проверяли это.


источник
3

В дополнение к TTL, уже упомянутому в других ответах, они могут использовать отпечаток DHCP вашего маршрутизатора, когда он получит IP-адрес от своего порта WAN.

Я знаю это, потому что я работаю над NAC PacketFence с открытым исходным кодом (конкурент Cisco NAC), и мы используем такие приемы.

Вот список распознанных отпечатков DHCP в PacketFence: http://packetfence.org/dhcp_fingerprints.conf

Мы знаем, что он также используется другими продуктами.

Оливье Билодо
источник
1

Они могут определить, является ли ваше устройство маршрутизатором, если оно передает пакеты маршрутизации (RIP, OSPF), и по MAC-адресу внешнего интерфейса Ethernet.

Любой интерфейс, который передает это устройство Cisco (или другой поставщик маршрутизатора), привлечет внимание.

Получайте удовольствие от учебы и старайтесь не отстать в процессе!

goodguys_activate
источник
0

Мне трудно поверить, что сетевые архитекторы в университете сделали бы себя уязвимыми перед ПОЛНЫМ отказом сети в случае, если студент подключит маршрутизатор к своей розетке в комнате в общежитии. Вероятность того, что студент попробует такое, довольно высока (посмотрите этот пост, например).

Бритвенный ответ Оккама заключается в том, что парень из службы технической поддержки, вероятно, просто пытался напугать вас, а не сказать, что он просто не знал.

Более того, в одноранговой архитектуре (в отличие, скажем, от SNA, где вы МОЖЕТЕ уничтожить всю сеть, выдавая себя за NCP), вероятность чего-то вроде конфликта устройств, вызывающего полный сбой сети, довольно низка. МОЖЕТ БЫТЬ, что вашему маршрутизатору так или иначе будет дан (или вы определите его сам) ЖЕ ip-адрес одного из собственных распределительных узлов здания общежития, но также МОЖЕТ БЫТЬ, что астероид поразит ваше здание.

Но давайте предположим, что это происходит: пока маршрутизатор cisco не перезагружается, ничего не происходит, и ваш маршрутизатор просто жалуется, что не может установить правильное соединение. Кроме того, маршрутизатор cisco, вероятно, сообщит о дублировании коллизии IP-адресов в журнале (который заметят операторы или сетевые администраторы).

Грег Готье
источник