Un ISP peut-il détecter si on fait du NAT?

Un ISP peut-il détecter si on fait du NAT? - Windows & Software

Marsh Posté le 20-08-2003 à 19:11:12    

Bonjour !
 
Ma question est toute simple : un provider peut bien entendu détecter si on obtient 2 adresses IP pour soi même, mais peut-il détecter une seule adresse IP faisant du NAT?
 
Merci !
 :hello:

Reply

Marsh Posté le 20-08-2003 à 19:11:12   

Reply

Marsh Posté le 20-08-2003 à 19:15:05    

Non.

Reply

Marsh Posté le 20-08-2003 à 22:20:12    

A mon avis, oui mais il faudrai k'il soit motivé et ai du temps a perdre


Message édité par DesuetCR_B le 20-08-2003 à 22:24:29

---------------
Moi quand on m'en fait trop j'correctionne plus, j'dynamite... j'disperse... et j'ventile | feedback
Reply

Marsh Posté le 20-08-2003 à 22:23:07    

DesuetCR_B a écrit :

A on avis, oui mais il faudrai k'il soit motivé et ai du temps a perdre


oui aussi, même remarque.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 20-08-2003 à 23:23:43    

Mjules a écrit :


oui aussi, même remarque.


c non.
 
le nat retaille le paquet de sort que l'isp ne voit rien ... desolé mjules
 
l'ip source est changé.
et la c fini seul la table de conntrack (les linhuxien me comprendons) peut reconstruire et reacheminer le paquet vers le reseau naté.
 
bye.


Message édité par jamiroq le 20-08-2003 à 23:25:17
Reply

Marsh Posté le 21-08-2003 à 00:13:20    

caedes a écrit :

Bonjour !
Ma question est toute simple : un provider peut bien entendu détecter si on obtient 2 adresses IP pour soi même, mais peut-il détecter une seule adresse IP faisant du NAT?
Merci !
 :hello:  


Tout ce que je peux dire: je fais du NAT avec AOL RTC illimité depuis un an environ et je n'ai jamais eu de remarques désobligeantes de leur part


---------------
All that is gold does not glitter, not all those who wander are lost ... I am Aragorn, and those verses go with that name.
Reply

Marsh Posté le 21-08-2003 à 00:15:11    

Ben dtf je vwa pas ske ca peut leur fouttre :heink:

Reply

Marsh Posté le 21-08-2003 à 02:11:59    

[Grandpas] a écrit :


Tout ce que je peux dire: je fais du NAT avec AOL RTC illimité depuis un an environ et je n'ai jamais eu de remarques désobligeantes de leur part

ça va, il marche bien le rtc ? [:joce]


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 21-08-2003 à 02:12:32    

DarkAngel a écrit :

Ben dtf je vwa pas ske ca peut leur fouttre :heink:  


 
si ça reste chez toi, ça les regarde pas, mais si tu t'amuses à partager avec tes voisins, ils y perdent  ;)


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 21-08-2003 à 02:24:09    

Wai c vrai j'avais zappé cette option la. M'enfin, faut quand même être un gros rat dans ce cas [:mouais]

Reply

Marsh Posté le 21-08-2003 à 02:24:09   

Reply

Marsh Posté le 21-08-2003 à 02:31:55    

DarkAngel a écrit :

Wai c vrai j'avais zappé cette option la. M'enfin, faut quand même être un gros rat dans ce cas [:mouais]


 
ou étudiant dans un immeuble rempli d'étudiants [:spamafote]
tout le monde n'a pas 300 balles à mettre dans un abo
ni même 200 ...
quand on peut s'arranger et qu'on a des moyens limités, c'est une option que certains choisissent


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 21-08-2003 à 02:34:27    

Mouais, tout ceci est très "particulieresque" :pt1cable:  :D

Reply

Marsh Posté le 21-08-2003 à 02:43:15    

ouais enfin si tu partages ta connec dans un immeuble plein de pti con faut bien configurer ton partage pour bloquer tout les P2P et bien balancer ta charge, car un con qui dl du cul toute la soirée ca doit etre bien genant :o

Reply

Marsh Posté le 21-08-2003 à 03:01:04    

Zeboss a écrit :

ouais enfin si tu partages ta connec dans un immeuble plein de pti con faut bien configurer ton partage pour bloquer tout les P2P et bien balancer ta charge, car un con qui dl du cul toute la soirée ca doit etre bien genant :o


 
beuh en général quand tu partages ta connex, c'est 2 par 2, sinon on s'en sort pas :D
et s'arranger avec un pote, c'est quand même pas compliqué [:spamafote]


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 21-08-2003 à 03:02:08    

si cela peu rassurer certain j'ai fait presque 2 ans de wanadoo ADSL en partageant la connection et depuis mai idem avec free.
 
Je pense pas etre le seul


Message édité par dje33 le 21-08-2003 à 03:02:23
Reply

Marsh Posté le 21-08-2003 à 04:26:30    

jamiroq a écrit :


c non.
 
le nat retaille le paquet de sort que l'isp ne voit rien ... desolé mjules
 
l'ip source est changé.
et la c fini seul la table de conntrack (les linhuxien me comprendons) peut reconstruire et reacheminer le paquet vers le reseau naté.
 
bye.


certains protocoles bâtis sur TPC/UDP intègrent l'adresse source/destination ... en plus de ce qu'on trouve déjà dans IP ... mais là,si tu as pas un module écrit spécialement pour NATer ce proto, ton FAI a une chance de le détecter ...
D'autre part, s'il a des soupçons, il peut s'amuser avec le TTL pour te faire chier, surtout s'il voit des paquets avec des TTL différents sortir d'une "même" machine ... [:joce]
Bisous ...  :hello:


Message édité par Zzozo le 21-08-2003 à 05:21:34
Reply

Marsh Posté le 21-08-2003 à 04:28:30    

En général cé toléré ... mais rien ne les empêche de demander que ça s'arrête non plus ... :o

Reply

Marsh Posté le 21-08-2003 à 07:40:58    

Zzozo a écrit :

En général cé toléré ... mais rien ne les empêche de demander que ça s'arrête non plus ... :o


à priori ils s'en branlent...ce qui pouvait les faire chier à la limite c'est qu'un client utilise plusieurs IP, mais du moment que de leur coté ils ne "voient" qu'une machine ca a pas de raison de les gêner... [:skeye]

Reply

Marsh Posté le 21-08-2003 à 08:05:58    

Si ils veulent se donner la peine de chercher ils le veront ...
L'ID du client NAT est spécifié dans la trame par le routeur, sinon comment voulez vous que le routeur sache quel client à fait la demande de tel ou tel page HTML par exemple (je ne parle pas de routing de ports ici).
 
Mais même Wanadoo possède des offres avec des modem/routeur/wifi à présent donc c'est plus que toléré.


---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Reply

Marsh Posté le 21-08-2003 à 08:07:37    

skeye a écrit :


à priori ils s'en branlent...ce qui pouvait les faire chier à la limite c'est qu'un client utilise plusieurs IP, mais du moment que de leur coté ils ne "voient" qu'une machine ca a pas de raison de les gêner... [:skeye]  


 
Si, ça peut géner un FAI qui a des offres personnelles et des offres pro par exemple.


---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Reply

Marsh Posté le 21-08-2003 à 08:12:40    

Deadlock a écrit :


 
Si, ça peut géner un FAI qui a des offres personnelles et des offres pro par exemple.


Les offres pros se distingueront autrement...si c'est juste le droit de partager la connection c'est du foutage de gueule...!


Message édité par skeye le 21-08-2003 à 08:13:04
Reply

Marsh Posté le 21-08-2003 à 08:19:58    

attendez, vous sous-entendez qu'àà la base c'est interdit ?

Reply

Marsh Posté le 21-08-2003 à 08:25:41    

djoul a écrit :

attendez, vous sous-entendez qu'àà la base c'est interdit ?


 
Disons que ça a toujours été "toléré", même si à une époque, la pub netissimo disait bien "une ligne, un ordi". Mais bon...
 
Moi je partage avec mon voisin du dessus+2 autres ordis chez moi. Ca fait un peu désordre le câble dans l'escalier, mais personne ne dit rien, et tant mieux:)

Reply

Marsh Posté le 21-08-2003 à 08:29:57    

djoul a écrit :

attendez, vous sous-entendez qu'àà la base c'est interdit ?


Oui. Ca doit même être écrit dans le contrat.

Reply

Marsh Posté le 21-08-2003 à 08:30:17    

Zzozo a écrit :

D'autre part, s'il a des soupçons, il peut s'amuser avec le TTL pour te faire chier, surtout s'il voit des paquets avec des TTL différents sortir d'une "même" machine ... [:joce]
Bisous ...  :hello:


 
J'ai pas compris là...  :??:

Reply

Marsh Posté le 21-08-2003 à 08:31:44    

djoul a écrit :

attendez, vous sous-entendez qu'àà la base c'est interdit ?


 
Ca n'a jamais été très clair. Je crois même qu'au début (faudrait que je retrouve mon contrat Wanadoo) il était clairement stipulé que Xtense était limité à une et une seule machine connectée sur la ligne.


---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Reply

Marsh Posté le 21-08-2003 à 08:33:46    

skeye a écrit :


Les offres pros se distingueront autrement...si c'est juste le droit de partager la connection c'est du foutage de gueule...!


 
Foutage de gueule peut être mais rien n'empêche un FAI de faire la distinction mono/multi postes pour ses offres perso/pro. C'est parfaitement légal, maintenant à toi de respecter ou non les engagements que tu prends lors de la signature du contrat.


Message édité par Deadlock le 21-08-2003 à 08:35:51

---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Reply

Marsh Posté le 21-08-2003 à 08:35:07    

Quand j'avais bossé chez un FAI bien connu à la hotline il y a deux ans, j'avais abordé le sujet du partage de connexion pendant la formation, et je n'ai eu que des réponses très évasives, limite "on passe à autre chose" de la part des formateurs. Ca faisait un peu sujet tabou j'ai trouvé.
 
Mais bon, ça a sans doute dû évoluer depuis.

Reply

Marsh Posté le 21-08-2003 à 08:47:00    

BMenez a écrit :


 
J'ai pas compris là...  :??:  


 
Le périphérique NAT (routeur par exemple) utilise le champ TTL (Time to live) de la trame IP auquel il soustrait une valeur (basée sur l'IP du client sur le LAN) pour chaque client NAT. De cette façon il peut donc d'après la valeur du TTL des packets entrants savoir vers quel client du réseau local envoyer le packet.
 
Donc si le FAI analyse les packets entrants/sortants pour ton IP et qu'il remarque 3 valeurs de TTL différentes, il peut facilement en déduire que 3 "clients" utilisent cette IP derrière un NAT device.
 
Rien ne l'empêcherait de changer les TTL aléatoirement des packets envoyés vers ton IP et ainsi mettre du NAT "par terre".
 
sFlow par exemple permet de detecter le NAT via TTL (car d'autres moyens existent mais le TTL est le plus répendu).


---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Reply

Marsh Posté le 21-08-2003 à 08:57:39    

Whaou... J'ai donc j'aurai repondu "non" trop vite...
Je savais ce que c'etait que le TTL, mais j'etait loin de
penser qu'il pouvait servir pour le NAT.
Tu as un lien sur ce sujet ? et sur la facon dont il est
utilisé ? parce que j'avoue que ca me parait un peu bizarre...
Le ttl a en general une valeur assez faible (forcement sinon
il sert plus a rien) ca voudrait dire que je peux pas faire
du NAT avec 500 machines ?  

Reply

Marsh Posté le 21-08-2003 à 09:01:25    

Je suis alle voir la page de sflow. Je viens juste de commencer a lire, mais j'ai plutot l'impression qu'il se base sur le fait que le TTL est forcement un cran inferieur a celui du host qui fait le nat (logique). Mais si c'est ca, je vois pas comment
ils peuvent avoir une idee du nombdre de machines "natées".
Enfin si, en associant ca comme il le font a une detection de
l'os grace a du tcp finger printing facon nmap je suppose.
mais bon... ca reste limité.
Enfin je vais continuer a lire.

Reply

Marsh Posté le 21-08-2003 à 09:16:31    

udok a écrit :

ça va, il marche bien le rtc ? [:joce]


:cry:
 
disons que ça me permet entre autre de naviguer
- sans leur interface à la con
- sous Linux


---------------
All that is gold does not glitter, not all those who wander are lost ... I am Aragorn, and those verses go with that name.
Reply

Marsh Posté le 21-08-2003 à 11:37:39    

Deadlock a écrit :

Le périphérique NAT (routeur par exemple) utilise le champ TTL (Time to live) de la trame IP auquel il soustrait une valeur (basée sur l'IP du client sur le LAN) pour chaque client NAT. De cette façon il peut donc d'après la valeur du TTL des packets entrants savoir vers quel client du réseau local envoyer le packet.
 
Donc si le FAI analyse les packets entrants/sortants pour ton IP et qu'il remarque 3 valeurs de TTL différentes, il peut facilement en déduire que 3 "clients" utilisent cette IP derrière un NAT device.
 
Rien ne l'empêcherait de changer les TTL aléatoirement des packets envoyés vers ton IP et ainsi mettre du NAT "par terre".
 
sFlow par exemple permet de detecter le NAT via TTL (car d'autres moyens existent mais le TTL est le plus répendu).


 
Effectivement, un moyen simple serait de mettre le TTL à 1 chez le FAI, comme ça le paquet ne passe pas le routeur (à moins de le remodifier)
Par contre pour la detection, je ne suis pas convaincu...

Reply

Marsh Posté le 21-08-2003 à 12:47:11    

jamiroq a écrit :


c non.
 
le nat retaille le paquet de sort que l'isp ne voit rien ... desolé mjules
 
l'ip source est changé.
et la c fini seul la table de conntrack (les linhuxien me comprendons) peut reconstruire et reacheminer le paquet vers le reseau naté.
 
bye.


avec un peu de jugeote et en analysant toutes les trames ca doit bien se voir.
 
Mais l'isp en question a pas le tps de passer 15hrs sur chaque client avec une equipe complete pour detecter ca


---------------
Moi quand on m'en fait trop j'correctionne plus, j'dynamite... j'disperse... et j'ventile | feedback
Reply

Marsh Posté le 21-08-2003 à 12:51:18    

on peut détecter, mais on peut aussi empecher la détection  
http://www.linuxfr.org/comments/188538.html

Reply

Marsh Posté le 21-08-2003 à 14:45:31    

farib a écrit :

on peut détecter, mais on peut aussi empecher la détection  
http://www.linuxfr.org/comments/188538.html


 
ils passent leur temps à vouloir interdire des trucs là bas ... [:doriangray]


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 21-08-2003 à 14:57:22    

Deadlock a écrit :


 
Ca n'a jamais été très clair. Je crois même qu'au début (faudrait que je retrouve mon contrat Wanadoo) il était clairement stipulé que Xtense était limité à une et une seule machine connectée sur la ligne.

Je confirme. C'est d'ailleurs pour ça que j'avais pris à l'époque le Netissimo Pro ...


Message édité par Gilbert Gosseyn le 21-08-2003 à 15:00:32

---------------
Tant que la couleur de la peau sera plus importante que celle des yeux, nous ne connaitrons pas la paix. ● L'écriture, c'est la mémoire du futur. ● Mods FO4
Reply

Marsh Posté le 21-08-2003 à 17:32:46    

Euh le coup du NAT qui change la valeur du TTL pour savoir a quelle client attribuer quel paquet ca me parait EXTREMEMENT louche.
 
Tout d'abord tous les routeurs décrementent le TTL. Le client et le serveur indiquent le TTL qu'il veut. En clair, dans la trame émise en réponse par le serveur, le TTL peut etre n'importe quoi.
 
sflow se sert du TTL pour détecter l'utilisation de NAT. Car comme tout routeur, une passerelle NAT décrémente le TTL. En comparant la valeur de TTL qui sort du réseau suspect avec les valeurs de TTL normalement utilisés par les OS classiques, sflow détecte la présence d'une passerelle.
 
Généralement, le NAT se sert du numéro de séquence du paquet IP pour faire la correspondance entre les paquets reçus et les paquets émis.
 
Ensuite on peut faire une estimation du nombre de machines derriere la passerelle en examinant les numéros de séquences. Normalement une machine, incrémente son numéro de sequence  d'une certaine valeur a chaque nouvelle connexion. Si l'on détecte les numéros 63286 pis le numéro 12500 dans un intervalle de temps réduit, on peut en déduire que ces paquets proviennent de 2 machines différentes.
 
http://www.sflow.org/detectNAT/


Message édité par Gardien le 21-08-2003 à 17:40:37
Reply

Marsh Posté le 21-08-2003 à 18:55:47    

Gardien a écrit :

Euh le coup du NAT qui change la valeur du TTL pour savoir a quelle client attribuer quel paquet ca me parait EXTREMEMENT louche.
 
Tout d'abord tous les routeurs décrementent le TTL. Le client et le serveur indiquent le TTL qu'il veut. En clair, dans la trame émise en réponse par le serveur, le TTL peut etre n'importe quoi.
 
sflow se sert du TTL pour détecter l'utilisation de NAT. Car comme tout routeur, une passerelle NAT décrémente le TTL. En comparant la valeur de TTL qui sort du réseau suspect avec les valeurs de TTL normalement utilisés par les OS classiques, sflow détecte la présence d'une passerelle.
 
Généralement, le NAT se sert du numéro de séquence du paquet IP pour faire la correspondance entre les paquets reçus et les paquets émis.
 
Ensuite on peut faire une estimation du nombre de machines derriere la passerelle en examinant les numéros de séquences. Normalement une machine, incrémente son numéro de sequence  d'une certaine valeur a chaque nouvelle connexion. Si l'on détecte les numéros 63286 pis le numéro 12500 dans un intervalle de temps réduit, on peut en déduire que ces paquets proviennent de 2 machines différentes.
 
http://www.sflow.org/detectNAT/


Pas mieux
:jap:

Reply

Marsh Posté le 21-08-2003 à 23:43:47    

Deadlock a écrit :

Si ils veulent se donner la peine de chercher ils le veront ...
L'ID du client NAT est spécifié dans la trame par le routeur, sinon comment voulez vous que le routeur sache quel client à fait la demande de tel ou tel page HTML par exemple (je ne parle pas de routing de ports ici).
 
Mais même Wanadoo possède des offres avec des modem/routeur/wifi à présent donc c'est plus que toléré.


 
bon faut que je te pete une table de conntrack pour te prouver que c pas detectable ?
 
la mac adresse de sortie est celle de ton modem adsl rien d'autre mon cher ..et ceux qui me croivent pas on qu'a faire un sniff (tcpdump)
 
..le TTL ...ahah : netfilter peut reajuster le ttl en sortie ..bisous

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed