Університет мені каже, що я не можу використовувати маршрутизатор у гуртожитку. Чи є якийсь спосіб вони розповісти?

8

Ми відстаємо від якихось маршрутизаторів Cisco, і нам потрібно підключитися через агент Cisco NAC. Технічна підтримка в моєму університеті говорить мені, що якщо я підключу роутер, "вся будівля втратить доступ до Інтернету". Мені це дуже важко повірити, і я хотів би знати: 1. Чи можуть вони сказати, чи використовую роутер, і 2. Як вони могли навіть сказати, що маршрутизатор використовує NAT?

networking routing

— терен
джерело

2

Я не думаю, що це була «загроза». Я підозрюю, що їх мережа, як і багато інших, не може обробляти другий сервер DHCP (наприклад, типовий маршрутизатор), який раптово з’являється в мережі.

— Rushyo

3 відповіді, 10 голосами, але ніхто не підтримав питання; людям потрібно частіше використовувати оновлення :) +1 Оновлення. У своїй кімнаті я використовую бездротовий маршрутизатор, який підключений до Університетської мережі через Ethernet. Ethernet підключений до порту WAN. Поки що жодних проблем. І я з'єднав Macbook та ipod одночасно. Я думаю, що ключова проблема, яку ви могли мати, - це якщо ви не використовуєте порт WAN. Але якщо ви використовуєте порт WAN, вам слід добре. Спробуй це.

— Неріан

4

Я сумніваюсь, що це знищить всю мережу, її просто попередження, тому вони можуть законно звинуватити вас у будь-яких проблемах, якщо ви протидієте їх попередженню та політиці. Немає причин запускати маршрутизатор у гуртожитку, просто використовуйте тупий перемикач, якщо вам потрібно більше портів.

— Моав

Ви намагаєтесь уникати придбання іншого пристрою? Якщо у вас 4-портовий DSL або бездротовий «роутер», розумійте, що такі пристрої дійсно є комутаторами та маршрутизаторами. Якщо ви вимкнете DHCP на пристрої, ви можете підключити шкільне підключення до Інтернету до порту LAN, а інші пристрої - до порту LAN, і використовувати його як комутатор. Нічого не підключайте до порту WAN.

— LawrenceC

8

Додавши до правильної відповіді PulpSpy, також можна виявити маршрутизатори (NAT чи ні), переглянувши поле TTL вихідних IP-пакетів. Кінцеві станції зазвичай встановлюють TTL на відоме число, наприклад 64, 254 або кілька інших альтернатив, залежно від ОС. Коли більшість пакетів на один менше, ніж це, наприклад, 63 тощо, це вказує на те, що між ними був скачок маршрутизатора.

— Якоб Борг
джерело

Це можна уникнути, скинувши TTL на маршрутизаторі.

— Богдан Максим

@Bogdan Звичайно. Не так багато домашніх маршрутизаторів мають таку можливість, і це порушує характеристики IP. І тоді, звичайно, вони могли б розгорнути DPI і застати вас, побачивши різні заголовки HTTP User Agent та мільйон інших способів. :)

— Якоб Борг

5

Так, вони, напевно, можуть сказати. Маршрутизація NAT перепризначить всі номери портів, щоб зберегти, який трафік виник з якого комп'ютера прямо. В результаті ваш трафік буде виглядати дивно, і коли підключено більше одного комп’ютера, вони зазвичай знаходяться на сусідніх портах. Це не буде доказом, але достатньо, щоб привернути увагу, якби вони спеціально перевіряли його.

3

На додаток до TTL, що вже згадувався в інших відповідях, вони могли б використовувати відбиток пальця DHCP вашого маршрутизатора, коли він отримає IP-адресу з його порту WAN.

Я це знаю, бо працюю над відкритим кодом PacketFence NAC (конкурент Cisco NAC) і ми використовуємо такі хитрощі.

Ось список розпізнаних відбитків DHCP у PacketFence: http://packetfence.org/dhcp_fingerprints.conf

Ми знаємо, що його використовують і інші продукти.

— Олів'є Білодо
джерело

1

Вони можуть визначити, чи є ваш пристрій маршрутизатором, якщо він транслює пакети маршрутизації (RIP, OSPF) та MAC-адресу зовнішнього інтерфейсу Ethernet.

Будь-який інтерфейс, який транслює це пристрій Cisco (або інший постачальник маршрутизаторів), приверне увагу.

Весело навчайтесь, і намагайтеся не зупинятись на цьому процесі!

— goodguys_activate
джерело

0

Мені важко вірити, що мережеві архітектори в університеті залишать себе вразливими до ОБСЛУГО мережі, якщо студент замикає маршрутизатор у розетку гуртожитку. Шанс, що студент може спробувати щось таке, досить високий (наприклад, засвідчуйте цей пост).

Відповідь на бритву Occam - це те, що хлопець із технічної підтримки, ймовірно, просто намагався вас налякати, а не казав, що просто не знав.

Більше того, в архітектурі однорангових (на відміну, скажімо, СНР, де ви МОЖЕТЕ перенести всю мережу, роблячи вигляд, що є NCP), ймовірність виникнення подібного конфлікту на пристрої, що спричинить повний збій у мережі, досить низька. МОЖАЛО БУТИ, що маршрутизатору якось нададуть (або ви самі це визначите) Ідентичну ip-адресу одного із власних вузлів розповсюдження будинку в гуртожитку, але МОЖНО БУДИ ТАКОЖ, що астероїд вдарив би про вашу будівлю.

Але припустимо, що це трапляється: доки маршрутизатор cisco не перезавантажиться, нічого не відбувається, і ваш маршрутизатор просто скаржиться, що не може отримати належне з'єднання. Крім того, маршрутизатор cisco, ймовірно, десь повідомить про зіткнення дубліката IP в журналі (де це помітять оператори або мережеві адміністратори).

— Грег Готьє
джерело