Они утверждают, что им достаточно воткнуть их коробочку в любое место локальной сети.
После этого трафик будет перенаправлен на их коробочку, а затем (после проверки) на роутер.
При этом всё работает (опять же по их утверждению) даже если часть IP адресов была настроена статически.
Стоит убрать их коробочку и всё начнет работать как было.
Вопрос. Как они такое сделали?
P.S. Я спрашивал специально — говорят, что у коробочки только один интерфейс.
__>Вопрос. Как они такое сделали?
Ниже TCP целая куча протоколов для общения роутеров и устройств. Я бы начал с поиска вариантов по ключевому слову ARP. Возможно это вообще атака типа ARP Spoofing только в мирных целях.
__>Они утверждают, что им достаточно воткнуть их коробочку в любое место локальной сети. __>После этого трафик будет перенаправлен на их коробочку, а затем (после проверки) на роутер.
чот не нашёл там такого в тексте.
и как-то странно, во времена tls и letsencrypt, надеяться, что mitm на внешнем хосте как-то поможет с анализом трафика.
Здравствуйте, std.denis, Вы писали:
SD>чот не нашёл там такого в тексте.
Это из личного общения. Я задавал им вопрос.
SD>и как-то странно, во времена tls и letsencrypt, надеяться, что mitm на внешнем хосте как-то поможет с анализом трафика.
Это совсем другой вопрос. Что и как они ловят. Меня интересует каким образом они смогли перенаправить трафик на самих себя.
Я, правда, не спросил как долго коробка должна стоять в сети прежде, чем всё заработает как им надо.
Это секунды или сутки или вообще до рестарта устройств. Этого не знаю. В голову сразу вопрос не пришел.
Здравствуйте, sergey2b, Вы писали:
S>а у коробочки достаточно производительности для проверки всего трафика даже если он будет перехвачен
Я так понял, что коробочка занимается только предварительным анализом. А дальше, спрашивает что-то у сервера.
Но, еще раз — вопрос работы коробки меня не сильно волнует. Там всё хоть в принципе понятно.
Однако как они перенаправляют трафик? Ну понятно GW должен поменяться. И оригинальный должен как-то стать в стороне.
Т.е. если убедить все устройства, что роутером стал новый IP адрес, то всё тогда понятно.
Каждый, пакет, который направлен на фиктивный роутер, будет обслужен и переотправлен на реальный.
Но как такое сделать?
Хорошо. Если DHCP, то хоть какие-то мысли есть. Трудно реализовать, но хоть какие-то мысли. На DHCP запрос клиента надо ответить быстрее основного сервера. Скорее всего клиент выберет первый ответивший сервер. Не факт конечно. Но скорее всего. Тех же клиентов, которые выбрали второй сервер по каким-то причинам, надо тиранить. Посылать DHCPNAK от имени сервера и затем дать им самого себя вторым.
Сложно представить что бы оно всё работало как часы, но тут хоть какие-то идеи.
Но что делать со статическими IP? Подменить свой MAC адрес и от имени шлюза посылать ICMP узел недостижим? Хотя чем это поможет — не представляю. Получается, что мне надо иметь два MAC адреса под один IP.
Здравствуйте, _sv_, Вы писали:
__>https://www.avast.com/smarthome
__>Они утверждают, что им достаточно воткнуть их коробочку в любое место локальной сети. __>После этого трафик будет перенаправлен на их коробочку
Остальные без инета — полная безопасность. Примерно так:
__>Вопрос. Как они такое сделали? __>P.S. Я спрашивал специально — говорят, что у коробочки только один интерфейс.
Приобретите экземпляр и выясните потом раскажитье.
Здравствуйте, _sv_, Вы писали:
__>Они утверждают, что им достаточно воткнуть их коробочку в любое место локальной сети. __>После этого трафик будет перенаправлен на их коробочку, а затем (после проверки) на роутер. __>При этом всё работает (опять же по их утверждению) даже если часть IP адресов была настроена статически. __>Стоит убрать их коробочку и всё начнет работать как было. __>Вопрос. Как они такое сделали?
Однажды у меня почти пропал интернет. Провайдер был весьма местечковый, и, судя по-всему, раздавал интернет как получится. "Почти" значит, что инет работал после перезагрузки несколько минут, после чего отлетал.
Подебажив вайршарком, нашел, что на ARP-запрос who is 192.168.0.xxx мне сначала прилетал MAC провайдерского роутера, а через несколько минут на этот запрос начинал отвечать уже роутер какого-то "соседа", который воткнул провайдерский шнурок в порт LAN своего роутера.
Думаю, каким-то таким спуфингом они и занимаются, выше уже писали про ARP.
M>Как вариант, поддерживаются только роутеры с UPnP,которые можно гибко переконфигурировать.
Я задам им вопрос. Наверное на следующей неделе удастся пообщаться.
M>Список поддерживаемых роутеров был?
Жедезяка в разработке и, я так подозреваю, он у них либо вообще отсутствует, либо не публичен.
По этой причине и информации мало. Если бы они ответили полностью, то темы на форуме бы не возникло.
Здравствуйте, andrey.desman, Вы писали:
AD>Думаю, каким-то таким спуфингом они и занимаются, выше уже писали про ARP.
Короче — прошла ночь. Я подумал и вот какие мысли появились:
Понятное дело — если у клиентов статически прописана конфигурация IP, то адрес шлюза должен стать моим. Других вариантов я просто не вижу.
Т.е. при запуске домашней сети, мне надо забрать этот адрес себе. Как при этом поведет себя роутер — мне уже не интересно. Ну почти не интересно. Он выберет себе другой адрес в сегменте, либо вообще уйдет в другой сегмент — это мы потом узнаем. Мне надо иметь два IP адреса на одном интерфейсе. Это не сложно.
На самом деле — адрес 1 у шлюза совсем не обязателен. Может быть какой угодно другой, рабочий в сегменте.
Так что идея — контролированный конфликт с роутером за нужный IP адрес. Опять же — не верю, что всё будет работать во всех конфигурациях. Но это уже другой вопрос. Идея, вроде бы появилаьс.
__>Так что идея — контролированный конфликт с роутером за нужный IP адрес. Опять же — не верю, что всё будет работать во всех конфигурациях. Но это уже другой вопрос. Идея, вроде бы появилаьс.
вы сосердоточились на вопросе как перехватить трафик
допустим весь трафик идет через роутер
как вы его будете контролировать ?
Здравствуйте, sergey2b, Вы писали:
S>вы сосердоточились на вопросе как перехватить трафик
Да. Именно этот вопрос меня интересует. Остальное мне не так интересно.
S>допустим весь трафик идет через роутер как вы его будете контролировать?
Что значит контролировать? Анализ трафика меня не интересует. Я в этом ничего не понимаю.
Если же речь идёт об управлении IP потоками, то мне кажется, что будет достаточно перенаправить поток на реальный роутер. Я что-то забыл?
__>https://www.avast.com/smarthome __>Они утверждают, что им достаточно воткнуть их коробочку в любое место локальной сети. __>После этого трафик будет перенаправлен на их коробочку, а затем (после проверки) на роутер.
Что по ссылке не читал, но то что вы описываете очень похоже на банальный ARP spoofing. Работать будет, но нестабильно — нет нет да ARP ответ придет от реального девайса, а значит TCP конекты будут изредка рандомно отваливаться и т.п.
Как много веселых ребят, и все делают велосипед...
