Şəbəkə hadisəsi gizli icmp skype kanalını blokladı. Şəbəkədə gizli məlumat ötürülməsini necə aşkar etmək olar? Gizli məlumat ötürülməsi nədir

Gizli kanallar məlumatların gizli, icazəsiz və ya qeyri-qanuni ötürülməsi üçün istifadə edilən hərəkətlərin gizlədilməsi və ya hücumların həyata keçirilməsi üsullarından biridir. Gizli kanalların köməyi ilə informasiya sızdırıla və ya əksinə, təşkilata məlumat daxil edilə bilər. İnternetdəki gizli kanalı portfeldəki məxfi bölmə ilə müqayisə etmək olar, orada təcavüzkar gizli sənədləri mühafizə obyektinin girişindən qaçaqmalçılıq yolu ilə keçirmək üçün gizlətməyə cəhd edə bilər. İnternetdə gizli kanallar aşkarlanmadan gizli materialları ötürmək üçün təcavüzkarlar tərəfindən istifadə edilə bilər - bu halda şəbəkə təhlükəsizlik mexanizmləri təhlükəsizlik şlüzü kimi çıxış edir. Necə ki, bir casus silahı təhlükəsizlikdən gizlətmək üçün eyni gizli bölmədə gizlədə bilər və nüfuz etmək onunla yanaşı, obyektə, İnternetdə təcavüzkarlar gizli kanallardan kiber silahları gizli ötürmək üçün istifadə edə bilərlər, məsələn, zərərli proqramları xarici serverdən təşkilatın şəxsi şəbəkəsindəki qovşaqlara yükləmək üçün.

İnternetdə Gizli Kanalları Anlamaq

İnternetdəki gizli kanallar tanış İnternet protokollarının qeyri-ənənəvi istifadəsinə əsaslana bilər. Ayrı bir kanalın son nöqtələri - yoluxmuş kompüter və təcavüzkarların komanda mərkəzi - hücum və ya hərəkətləri gizlətmək üçün bu cür qeyri-ənənəvi üsulları tanımağa və emal etməyə qadir olan xüsusi proqram təminatından istifadə etməlidir. Bu cür proqram təminatı istifadəçinin özü və ya zərərli proqram tərəfindən və ya uzaqdan idarəetmə alətlərindən (RAT) istifadə edən təcavüzkarlar tərəfindən quraşdırıla bilər. İnternet gizli kanalları şifrələnmiş tunellərdən fərqlidir. Onlar vasitəsilə məlumat şifrələnməmiş şəkildə ötürülə bilər (bu çox vaxt olur), lakin bu kanalların özləri kənar şəxslərdən gizlədilir. Bu vəziyyətdə şifrələmə və ya kriptoqrafik açarlardan istifadə etməyə ehtiyac yoxdur, lakin bəzən gizli kanallar hələ də məlumatların şifrələnməsi və ya çaşdırılması üçün müxtəlif üsullardan istifadə edirlər.

Gəlin iki nümunəyə baxaq. Birinci texnika gizli şəkildə məlumatı İnternet Protokolu (IP) paket başlığının identifikator (ID) sahəsinə bir simvol ötürməkdir. Bu texnikanın ümumi tətbiqlərində, identifikator sahəsində əvəz olunan 16 bitlik dəyərlər yaratmaq üçün simvolların ASCII kodları 256-ya vurulur. ICANN akronimini ötürmək üçün aşağıdakı identifikator sahəsi dəyərlərinə malik 5 IP paketini ötürmək lazımdır:

Plastik torba Ondalıq ASCII dəyəri IP Paket ID (x256)
1 71 ("Mən") 18176
2 67 ("C") 17152
3 65 ("A") 16640
4 78 ("N") 19968
5 78 ("N") 19968

Qəbul edən kompüter nəticədə alınan dəyəri 256-ya bölmək yolu ilə IP paket İD sahəsinin dəyərini deşifrə edir. Belə dəyərlərin ötürülməsi heç bir şübhə doğurmur və İP protokolu dublikat paketlərin ötürülməsinə imkan verdiyi üçün belə ehtimallar trafik azdır. Yavaş sürət ötürmənin gizliliyi ilə kompensasiya edilir.

Gizli kanal yaratmaq üçün ikinci texnika protokolun faydalı yükünün, yəni seçilmiş protokol çərçivəsində ötürülən texniki məlumatın istifadəsini nəzərdə tutur. Bu halda, məlumatlar ECHO sorğularına və cavablarına əlavə olunur - bunlar İnternet İdarəetmə Mesaj Protokolunda və ya ICMP-də istifadə olunan xidmət mesajlarıdır. ECHO mesajları ümumi xidmətdə istifadə olunur ping. Şəbəkə administratorları tez-tez uzaq hostun əlçatan olub olmadığını yoxlamaq üçün pingdən istifadə edirlər, buna görə də ICMP ECHO paket trafikinə adətən firewall kimi şəbəkə təhlükəsizlik alətləri vasitəsilə icazə verilir.

Bu üsullar haqqında daha çox öyrənmək istəyirsinizsə, aşağıdakı məqalələrə baxın: Gizli Kanallar Q&A və ICMP üzərində Gizli Kanallar (PDF, 740 KB).

Daha. Gizli DNS Kanalları

Domain Name System (DNS) protokolu gizli kanallardan istifadəni asanlaşdıran bir sıra xüsusiyyətlərə malikdir. DNS trafikinə hər iki istiqamətdə firewall vasitəsilə icazə verilir. Gizli kanallar yaratmaq üçün DNS-dən istifadənin təhlükələri tez-tez nəzərdən qaçırılır və ya lazımınca qiymətləndirilmir, buna görə təşkilatlar və ya İnternet xidmət provayderləri həmişə DNS trafikini hücum əlamətləri üçün yoxlamırlar. Bəzən avtorizasiya və ya istifadəçinin autentifikasiyası funksiyaları yerinə yetirilməzdən əvvəl adları həll etmək üçün DNS trafiki daha geniş İnternetə sızdırılır ki, bu da DNS gizli kanallarının bu cür giriş nəzarətlərini keçmək üçün istifadə edilməsinə imkan verir.

Növbəti yazımızda məlumatların çıxarılması, giriş nəzarətlərini keçmək və ya zərərli proqram yükləmək üçün gizli DNS kanallarından necə istifadə oluna biləcəyini əhatə edəcəyik.

Gizli kanallar informasiya təhlükəsizliyində həm artı işarəsi (anonimliyi və məxfiliyi təmin etmək üçün), həm də mənfi işarə ilə (məlumat sızmasını təşkil etmək üçün) istifadə edilə bilən üsullardan biridir. İkinci komponenti nəzərdən keçirək - gizli məlumat ötürülməsinin aşkarlanması və ya məlumatların gizli kanallar vasitəsilə ötürülməsi praktikada həlli ən çətin olan informasiya təhlükəsizliyi problemlərindən biridir. Məqalənin ölçüsünü artırmamaq üçün şifrələmə və steqanoqrafiya kimi məlumatların gizlədilməsi mexanizmlərinə qəsdən məhəl qoymaacağam.

Aleksey Lukatski
Cisco Təhlükəsizlik Məsləhətçisi

Gizli məlumat ötürülməsi nədir?

Şəbəkə üzərindən gizli məlumat ötürülməsi bu metodun yeganə tətbiqi deyil. “Gizli kanal” termini ilk dəfə 1973-cü ildə yaranıb və ənənəvi şəbəkə bağlantısı olmayan hesablama sistemləri üçün istifadə edilib. Məsələn, proses müddəti üçün cüt dəyər bir, tək dəyər isə sıfır mənasını verə bilər. Beləliklə, prosesin müddətini manipulyasiya etməklə, biz 0 və 1 ardıcıllığı yarada bilərik ki, hər hansı bir şeyi təsvir etmək üçün istifadə edə bilərik (bu sözdə vaxt kanalıdır). Hesablama sistemlərində gizli prosesin başqa bir nümunəsi, bir prosesin müəyyən bir tapşırığa başlaması və onu müəyyən bir zamanda tamamlamasıdır ki, bu da vahid kimi şərh edilə bilər; tapşırıq müəyyən edilmiş vaxt ərzində yerinə yetirilmədikdə isə sıfır.

Gizli ötürmə necə həyata keçirilə bilər?

Gizli şəbəkə məlumatlarının ötürülməsi haqqında danışırıqsa, onda ən populyar və tətbiqi nisbətən sadə üsullardan biri xaricdən ötürülməli olan qorunan məlumatların və ya xaricdən qəbul edilməli olan əmrin səlahiyyətli protokola daxil edilməsindən ibarət olan inkapsulyasiyadır.

Bu vəziyyətdə tamamilə fərqli enkapsulyasiya variantlarından istifadə edilə bilər:

1987-ci ildə gizli şəbəkə ötürülməsi ideyası irəli sürüldü və o andan etibarən məxfiliyin və ya məlumat sızmasının təmin edilməsi üçün bu üsulla (hasarın hansı tərəfinə baxdığınızdan asılı olaraq) ciddi araşdırmalar başladı. Xüsusilə, 1989-cu ildə ilk dəfə Ethernet çərçivələrinin və bir sıra digər kanal protokollarının istifadə olunmamış bitlərini manipulyasiya etmək təklif edildi. Aydındır ki, qlobal şəbəkələrdə məlumatları gizlətməkdən fərqli olaraq, yerli şəbəkədəki gizli kanalları öyrənmək o qədər də maraqlı deyil. 1996-cı ildə gizli TCP/IP kanalı üzərindən məlumatların faktiki ötürülməsini və qəbulunu nümayiş etdirən bir araşdırma dərc edildikdə bir irəliləyiş (ən azı ictimai) hesab edilə bilər; daha doğrusu, başlığının ayrı-ayrı sahələrində.

  • Uzun müddətdir ki, onun əsasında digər tətbiq protokollarının qurulması üçün faktiki standarta çevrilmiş HTTP səviyyəsində. Məsələn, anonim JAP şəbəkəsi idarə edilməsi çətin olan Tor şəbəkəsindən istifadə etməklə məlumatların ötürülməsi üçün HTTP-dən istifadə edir. HTTP-də məlumatların ötürülməsi üçün GET və POST əmrlərindən istifadə etmək mümkündür və əgər HTTP video və audio axınının ötürülməsi üçün istifadə olunursa, o zaman təcavüzkarların böyük həcmdə məlumat ötürmə qabiliyyəti demək olar ki, sonsuz olur.
  • DNS səviyyəsində, məlumat DNS sorğuları və onlara cavablar içərisində gizləndikdə. İnsanlar bu üsul haqqında ilk dəfə 2000-ci illərin əvvəllərində, TCP protokolunu DNS-ə tunel etmək üçün DeNiSe aləti ortaya çıxanda danışmağa başladılar. Daha sonra Dan Kaminskinin SSH-nin DNS vasitəsilə kapsullaşdırılmasının mümkünlüyünü göstərən və 2005-ci ildə Defcon konfransında təqdim etdiyi bir araşdırma var idi. Və sonra bu mövzu populyarlıq qazanmağa başladı - dns2tcp, DNScapy, DNScat, Heyoka, yod, squeeza və s. meydana çıxdı.
  • ICMP səviyyəsində, verilənlər normal təhlükəsiz ICMP protokolu daxilində inkapsulyasiya edildikdə. İlk dəfə 1996-cı ildə Phrack jurnalında adı çəkilən Loki proqramı bu prinsiplə işləyirdi. Onu daha təkmil Loki2 izlədi. ICMP vasitəsilə şifrələnmiş mesajlarla əlaqə saxlamağa imkan verən icm-pchat adlı alət də var.
  • TCP/UDP/IP səviyyəsində, sızmaları gizlətmək və ya xaricdən əmrlər almaq üçün fərdi paket başlıq sahələri istifadə edildikdə. İstifadə olunan protokoldan asılı olaraq, ötürülən məlumatların ölçüsü IP, UDP və TCP protokollarında müvafiq olaraq 2 ilə 12 və 38 bayt arasında dəyişir. TCP başlıq modifikasiyasından istifadə edən çox maraqlı alət Nushu adlanır. Onun özəlliyi ondan ibarətdir ki, o, özü heç bir trafik yaratmır, ancaq hansısa proqram və ya proses tərəfindən artıq qovşaqdan göndəriləni dəyişdirir. Başqa sözlə, dəyişdirilmiş trafik olması lazım olan yerə göndərilir və təcavüzkar sadəcə olaraq şəbəkə üzərindən onun qarşısını alır, bu şəkildə sızan məlumatları toplayır.
  • Simsiz şəbəkələrdə, məlumat yayımla paylanan ötürülən trafikdə maskalandıqda. Yeri gəlmişkən, bu halda passiv rejimdə işləyə bilən qəbuledici tərəfi aşkar etmək asan deyil - yalnız məlumat almaq üçün. HICCUPS aləti bu prinsip üzərində qurulub.

Gizli ötürülməni necə aşkar etmək olar?

Gizli kanalların istifadə etdiyi bu qədər müxtəlif üsulları və onların içində olduqları protokolları görərək, gizli ötürülmələri aşkar etmək üçün niyə bu qədər müxtəlif üsulların olduğunu başa düşə bilərsiniz. Əsas olan anomaliya nəzarətidir, bu, aşağıdakı parametrlərin yoxlanılmasından ibarətdir (natamam siyahı):

  • Sorğu və cavab ölçüsü. Məsələn, DNS sorğusunun orta uzunluğunun 40-60 baytdan çox olmadığı məlumdur. Buna görə də, artan paket uzunluğu ilə DNS sorğularının sayının artması gizli kanalın işlədiyini göstərə bilər. Bənzər bir təcrübə digər protokollar üçün də təklif oluna bilər - ICMP, SIP və s.
  • Müraciətlərin həcmi. Tipik olaraq, müəyyən növ protokollar üçün trafikin həcmi sabit dəyər deyilsə, nadir hallarda faizin bir neçə hissəsi daxilində dəyişir. Buna görə də, xidmət protokolu trafikinin qəfil artması və ya DNS sorğularının sayı və ya onların ölçüsü anomaliya və araşdırma ehtiyacını göstərə bilər. Üstəlik, bu halda trafik profili həm göndərən, həm də alıcı qovşağı üçün qiymətləndirilə bilər.
  • Xitlərin sayı və ya coğrafiyası da gizli kanalların xarakterik xüsusiyyəti ola bilər. Məsələn, daxili DNS serveriniz varsa, xarici DNS qovşağına davamlı zənglər də anomaliyanı göstərə bilər.
  • Statistik təhlilin digər növləri də gizli kanalları aşkar etmək üçün faydalıdır. Məsələn, DNS üçün host adlarında entropiya səviyyəsini təhlil edə bilərsiniz. DNS sorğularında gizli məlumat ötürülürsə, istifadə olunan simvolların paylanması ənənəvi olandan fərqli olacaq.

Şəbəkə trafikində bu cür anomaliyaları izləməyə imkan verən vasitə NBAD (Şəbəkəyə əsaslanan Anomaliyaların Təsbiti) sinif sistemləridir ki, onlar artıq çoxlu sayda daxili qaydaları ehtiva edir və ya təlim rejimindən sonra müstəqil şəkildə konfiqurasiya edilə bilər.


Anomaliya analizi ilə yanaşı, müəyyən protokollardakı məzmunun öyrənilməsi ilə də gizli kanallar aşkar edilə bilər. Bu, həm RFC-lərdən tətbiq protokol trafikinin sapmalarına nəzarət edə bilən ənənəvi Next Generation sinif həlləri, həm də müdaxilənin aşkarlanması sistemlərindən istifadə etməklə edilə bilər. Məsələn, DNS protokolunda gizli NSTX kanalının aşkarlanması üçün imza Snort açıq mənbə həlli üçün belə görünür:
alert udp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"Potensial NSTX DNS Tunelləmə"; məzmun:"|01 00|"; ofset:2; daxilində:4; məzmun:"cT"; ofset:12; dərinlik:3 ; məzmun:"|00 10 00 01|";

Xülasə

Ümumbəşəriliyin olmaması həm gizli kanalların fəal istifadəsinə, həm də onlara qarşı mübarizəyə bəlkə də əsas maneədir.

Şəbəkə trafikində gizli kanallar universal olmayan və öz məhdudiyyətləri və əhatə dairəsi olan çox spesifik bir üsuldur. Hər bir gizli kanalın öz xüsusiyyətləri var, məsələn, bant genişliyi, səs-küy, ötürmə rejimi (ikitərəfli və ya birtərəfli), bunlar da nəzərə alınmalıdır - həm onlardan istifadə edərkən, həm də onlarla mübarizə apararkən. Yenə də “Müharibə və Sülh” L.N. Tolstoyu belə kanallar vasitəsilə tez ötürmək mümkün deyil və bəzi gizli ötürmə üsulları çox yüksək səs-küy səviyyəsinə malikdir ki, bu da onların qlobal şəbəkələrdə səmərəli istifadəsinə mane olur, bu zaman xarici amillər gizli ötürülmənin uğuruna böyük təsir göstərə bilər.

Ümumbəşəriliyin olmaması həm gizli kanalların fəal istifadəsinə, həm də onlara qarşı mübarizəyə bəlkə də əsas maneədir. Gizli məlumat ötürülməsinə qoyulan çoxlu sayda məhdudiyyətlər onu yalnız konkret tapşırıq və konkret müştəri üçün hazırlanmış hədəflənmiş təhlükələr sahəsinə çevirir. Eyni universallığın olmaması belə bir fikrə gətirib çıxarır ki, indi də vahid məhsul şəklində gümüş güllə yoxdur və gizli məlumat ötürülməsini aşkar etmək və zərərsizləşdirmək üçün bütün alətlər və texnologiyalardan istifadə etmək lazımdır.

MikroTik-i necə konfiqurasiya edəcəyinizi bu istehsalçının avadanlıqları üzrə onlayn kursda öyrənə bilərsiniz. Kursun müəllifi sertifikatlı MikroTik təlimçisidir. Daha ətraflı məqalənin sonunda oxuya bilərsiniz.

Məqalədə ICMP trafikini blok etməyin nə qədər təhlükəli olduğu sualına cavab verilir.

ICMP mübahisə sümüyüdür

Bir çox şəbəkə administratorları hesab edirlər ki, İnternet İdarəetmə Mesajı Protokolu (ICMP) təhlükəsizlik riskidir və buna görə də həmişə bloklanmalıdır. Protokolun bəzi əlaqəli təhlükəsizlik problemləri var və bu, bir səbəb deyil bütün ICMP trafikini bloklamaq üçün!

ICMP trafiki bir çox vacib funksiyalara malikdir; Onlardan bəziləri problemlərin aradan qaldırılması üçün faydalıdır, digərləri isə şəbəkənin düzgün işləməsi üçün lazımdır. Aşağıda ICMP protokolunun bilməli olduğunuz bəzi vacib hissələri verilmişdir. Onları şəbəkəniz vasitəsilə ən yaxşı şəkildə necə istiqamətləndirməyi düşünməlisiniz.

Echo sorğusu və əks-səda cavabı

IPv4 – Echo sorğusu (Type8, Code0) və Echo cavabı (Type0, Code0)
IPv6 – Eko sorğusu (Type128, Code0) və Echo cavabı (Type129, Code0)

Hamımız yaxşı bilirik ki, ping problemlərin aradan qaldırılması üçün ilk vasitələrdən biridir. Bəli, əgər siz aparatınızda ICMP paket emalını aktiv etsəniz, bu o deməkdir ki, hostunuz artıq aşkar edilə bilər, lakin sizinki artıq 80 portu dinləmir və müştəri sorğularına cavab göndərmir? Şəbəkənin kənarında DMZ-ni həqiqətən istəyirsinizsə, əlbəttə ki, bu sorğuları da bloklayın. Lakin şəbəkənizdə ICMP trafikini bloklamaqla siz öz təhlükəsizliyinizi gücləndirməyəcəksiniz, əksinə, lazımsız dərəcədə mürəkkəb problemlərin aradan qaldırılması prosesi ilə nəticələnəcəksiniz (“Lütfən, şlüzün şəbəkə sorğularına cavab verib-vermədiyini yoxlayın?”, “Xeyr, amma bu məni heç narahat etmir, çünki heç nə deməyəcəyəm."

Unutmayın, siz həmçinin sorğuların müəyyən istiqamətə getməsinə icazə verə bilərsiniz; məsələn, avadanlığı elə konfiqurasiya edin ki, şəbəkənizdən Echo sorğuları İnternetə getsin və İnternetdən Echo cavabları şəbəkənizə keçsin, əksinə deyil.

Paketin parçalanması tələb olunur (IPv4) / Paket çox böyük (IPv6)

IPv4 – (Tip3, Kod4)
IPv6 – (Növ 2, Kod0)

ICMP protokolunun bu komponentləri çox vacibdir, çünki onlar TCP protokolunun ayrılmaz hissəsi olan Path MTU Discovery (PMTUD) proqramında mühüm komponentdir. İki hosta TCP Maksimum Seqment Ölçüsü (MSS) dəyərini iki təyinat arasındakı əlaqə yolu boyunca ən kiçik MTU-ya uyğun gələn dəyərə tənzimləməyə imkan verir. Əgər paketlərin yolu boyunca göndərici və ya alıcıdan daha kiçik Maksimum Ötürmə Vahidinə malik bir qovşaq varsa və onların bu toqquşmanı aşkar etmək üçün vasitələri yoxdursa, o zaman trafik sakitcə atılacaq. Və rabitə kanalı ilə nə baş verdiyini başa düşməyəcəksiniz; başqa sözlə, “şən günlər sizin üçün gələcək”.

Parçalamayın - ICMP keçməyəcək!

İnterfeys vasitəsilə ötürülməsi üçün çox böyük olan IPv4 paketlərinin Don't Fragment bit seti (əksəriyyəti!) və ya IPv6 paketləri (unutmayın ki, IPv6-da marşrutlaşdırıcılar tərəfindən heç bir parçalanma yoxdur) marşrutlaşdırıcının paketi atmasına səbəb olacaq. və aşağıdakı ICMP səhvləri ilə ötürmə mənbəyinə cavab yaradın: Parçalanma tələb olunur ( Parçalanma Tələb olunur) və ya Paket Çox Böyük ( Paket də Böyük). Bu səhvlərlə cavablar göndərənə qaytarıla bilməzsə, o, ACK paketlərinin çatdırılması ilə bağlı təsdiq cavablarının olmamasını şərh edəcək ( Təsdiq) tıxac/itki kimi qəbuledicidən və həmçinin atılacaq paketlərin təkrar ötürülməsi üçün mənbədən.

Belə bir problemin səbəbini müəyyən etmək və onu tez bir zamanda həll etmək çətindir, çünki TCP əl sıxma prosesi yaxşı işləyir, çünki o, kiçik paketləri əhatə edir, lakin toplu məlumat ötürülməsi baş verən kimi, ötürmə seansı donur, çünki köçürmə mənbəyi yoxdur; səhv mesajları almaq.

Paket çatdırılma yolunu araşdırın

RFC 4821 paket yolunun yoxlanılmasından istifadə etməklə şəbəkə trafiki iştirakçılarına bu problemi həll etməyə kömək etmək üçün nəzərdə tutulmuşdur (Yol MTU kəşfi (PLPMTUD). Standart məlumatın maksimum miqdarını aşkar etməyə imkan verir (Maksimum Ötürmə Vahidi (MTU) Faydalı məlumat blokunun maksimum ölçüsünü tədricən artıraraq bir iterasiyada protokol tərəfindən ötürülə bilən . (Maksimum Seqment Ölçüsü (MSS), vericidən qəbulediciyə gedən yol boyunca paketi parçalamadan maksimum mümkün ölçüsünü tapmaq üçün. Bu funksionallıq İnternet Nəzarət Mesajı Protokolu (ICMP) vasitəsilə səhv cavablarının vaxtında alınmasından asılılığı azaldır və əksər şəbəkə qurğuları yığınlarında və müştəri əməliyyat sistemlərində mövcuddur Bu ICMP mesajlarının ötürülmə mənbəyinə qayıtmasına icazə verin, tamammı?

Paketin ötürülmə vaxtı keçib

IPv4 – (Tip11, Code0)
IPv6 – (Tip3, Code0)

Traceroute, səyahətin hər bir addımını təfərrüatlandıran iki host arasında şəbəkə əlaqələrini aradan qaldırmaq üçün çox faydalı bir vasitədir.


IP protokolu üçün məlumat paketinin ömrü ilə bir paket göndərir (Yaşama vaxtı (TTL) bərabərdir 1 ilk marşrutlaşdırıcının paketin yaşama müddətini keçdiyi barədə səhv mesajı (öz IP ünvanı daxil olmaqla) göndərməsi. Sonra TTL 2 ilə paket göndərir və s. Bu prosedur paket yolu boyunca hər bir nodu aşkar etmək üçün lazımdır.

NDP və SLAAC (IPv6)

Router Tələbləri (RS) (Type133, Code0)
Router Reklamı (RA) (Type134, Code0)
Qonşu Tələbləri (NS) (Tip135, Kod0)
Qonşu Reklamı (NA) (Type136, Code0)
Yönləndirmə (Type137, Code0)

IPv4 OSI şəbəkə modelinin 2 və 3-cü təbəqələrini xəritələşdirmək üçün Ünvan Qəbul Protokolundan (ARP) istifadə etdiyi halda, IPv6 Qonşuların Kəşf Protokolu (NDP) şəklində fərqli yanaşmadan istifadə edir. NDP, marşrutlaşdırıcının kəşfi, prefiks kəşfi, ünvan həlli və s. daxil olmaqla bir çox xüsusiyyətləri təmin edir. NDP-yə əlavə olaraq, Dövlətsiz Ünvan Avtomatik Konfiqurasiyası (SLAAC) sizə Dinamik Host Konfiqurasiya Protokolunun (DHCP) konsepsiyasına bənzər bir şəbəkədə hostu dinamik şəkildə konfiqurasiya etməyə imkan verir (baxmayaraq ki, DHCPv6 daha detallı idarəetmə üçün nəzərdə tutulub).

IP məlumat ötürmə protokolunun düzgün işləməsi üçün bu beş növ ICMP mesajı şəbəkəniz daxilində bloklanmamalıdır (xarici perimetri nəzərə almadan).

ICMP Nömrələmə

İnternet Nəzarət Mesaj Protokolu (ICMP) "növ" sahəsi ilə müəyyən edilən bir çox mesajı ehtiva edir.

Növ ad Spesifikasiya
0 Echo Cavab
1 Təyin edilmədi
2 Təyin edilmədi
3 Təyinat Əlçatan deyil
4 Mənbə söndürmə (köhnəlmişdir)
5 İstiqamətləndirmə
6 Alternativ Host ünvanı (köhnəlmişdir)
7 Təyin edilmədi
8 Echo
9 Router reklamı
10 Router tələbi
11 Vaxt keçdi
12 Parametr problemi
13 Vaxt möhürü
14 Vaxt möhürü cavabı
15 Məlumat Sorğusu (köhnəlmişdir)
16 Məlumat Cavabı (köhnəlmişdir)
17 Ünvan maskası sorğusu (köhnəlmişdir)
18 Ünvan maskası cavabı (köhnəlmişdir)
19 Qorunur (Təhlükəsizlik üçün) Solo
20-29 Qorunur (Sağlamlıq Təcrübəsi üçün) ZSu
30 Traceroute (köhnəlmişdir)
31 Datagram Çevrilmə Xətası (köhnəlmişdir)
32 Mobil Host Yönləndirməsi (köhnəlmişdir) David_Johnson
33 IPv6 Haradasınız (köhnəlmişdir)
34 IPv6 Mən Burdayam (Keçmiş)
35 Mobil Qeydiyyat Sorğusu (köhnəlmişdir)
36 Mobil Qeydiyyat Cavabı (köhnəlmişdir)
37 Domen adı sorğusu (köhnəlmişdir)
38 Domen adı cavabı (köhnəlmişdir)
39 KEÇİN (köhnəlmişdir)
40 Photuris
41 Seamoby kimi eksperimental mobillik protokolları tərəfindən istifadə edilən ICMP mesajları
42 Genişləndirilmiş Echo Sorğusu
43 Genişləndirilmiş əks-səda cavabı
44-252 Təyin edilmədi
253 RFC3692-stil Təcrübə 1
254 RFC3692-stil Təcrübə 2
255 Qorunur

Sürət məhdudiyyətləri haqqında bir neçə kəlmə

Bu məqalədə təsvir edilənlər kimi ICMP mesajları çox faydalı ola bilsə də, unutmayın ki, bütün bu mesajların yaradılması marşrutlaşdırıcılarınızda CPU vaxtını alır və trafik yaradır. Normal vəziyyətdə firewall vasitəsilə saniyədə 1000 ping alacağınızı həqiqətən gözləyirsiniz? Bu normal trafik hesab olunacaqmı? Yəqin ki, yox. Bu tip ICMP trafiki üçün şəbəkə ötürmə qabiliyyətini istədiyiniz kimi məhdudlaşdırın; bu addım şəbəkənizi qorumağa kömək edə bilər.

Oxuyun, araşdırın və anlayın

ICMP paketlərinin “bloklanması və ya bloklanması” mövzusunun müzakirəsinin həmişə çaşqınlığa, mübahisələrə və fikir ayrılıqlarına səbəb olduğunu nəzərə alaraq, bu mövzunu təkbaşına öyrənməyə davam etməyi təklif edirəm. Mən bu səhifədə çoxlu bağlantılar vermişəm, mən inanıram ki, məsələləri daha tam başa düşmək üçün siz onları oxumağa vaxt sərf etməlisiniz. Şəbəkəniz üçün nəyin ən yaxşı olduğuna dair məlumatlı seçimlər edin.

MikroTik: işləmək üçün hara klikləmək lazımdır?
Bütün üstünlüklərinə baxmayaraq, MikroTik məhsullarının bir çatışmazlığı var - onun konfiqurasiyası haqqında çox səpələnmiş və həmişə etibarlı olmayan məlumatlar var. Hər şeyin toplandığı, məntiqi və strukturlaşdırılmış rus dilində etibarlı mənbəni tövsiyə edirik - video kurs " MikroTik avadanlığının qurulması" Kursa 162 video dərs, 45 laboratoriya işi, özünü test sualları və qeydlər daxildir. Bütün materiallar qeyri-müəyyən müddətə sizinlə qalır. Kurs səhifəsində sorğu buraxaraq kursun başlanğıcını pulsuz izləyə bilərsiniz. Kursun müəllifi sertifikatlı MikroTik təlimçisidir.

Bu qısa məqalə sizə simsiz İnternetə çıxış əldə etmək üçün bir neçə kompüter, bir neçə əyləncə aləti və əməliyyat sistemindən necə istifadə edəcəyinizi göstərəcək. Texniki tərəfi kifayət qədər aydın təsvir etdim və şərhlər verdim.

1. Giriş.

Mən yenicə ilk noutbukumu aldım və onunla yaramaz bir şey etmək istədim (hətta bir az iş görməyə çalışdım, amma çox yorucu idi
:)). Wardriving əvvəlcə olduqca əyləncəli bir fəaliyyət idi, lakin şəbəkələrin qorunduğunu anlayanda bir az sıxıldım
WEP mənim üçün çox sərtdir (intranet trafiki olmadığı üçün - şəbəkələr ölü hesab edilə bilərdi) və qorunmayan şəbəkələr ümumiyyətlə maraq doğurmur. Xoşbəxtlikdən, kollec kampusumdakı simsiz şəbəkə bir az daha maraqlı idi.

Şəbəkə pulsuz simsiz İnternet təmin edir, lakin girişə icazə verməzdən əvvəl MAC ünvanınızı öz adınıza qeydiyyatdan keçirməyi tələb edir - qeydiyyatdan keçməmiş istifadəçilər provayderin səhifəsinə (qeydiyyat səhifəsi) yönləndirilir. Qeydiyyat administratorla iki dəqiqəlik söhbətdən ibarət olardı, amma mən düşündüm: “Bəlkə
belə ünsiyyət olmadan giriş əldə etmək üçün bir yol? Əlbəttə o idi.

2. Birinci nüfuz üsulu MAC saxtakarlığıdır.

Hər şey MAC ünvanı ətrafında cərəyan etdiyi üçün ilk ağlına gələn bu oldu
artıq qeydiyyatdan keçmiş MAC ünvanını tapmaq və onunla məşğul olmaq idi
saxtakarlıq. Əlbəttə ki, danışmaq asandır, amma əvvəllər bunu etmədiyimi nəzərə alsaq, demək olar ki, heç bir səy tələb etmirdi.
Etdiyim ilk şey kismet ("kismet -c orinoco,eth1,wifi") işlətdi və mesh qoxuladı. Qismet endirdiyiniz hər şeyi saxlayır
fayla məlumat (mənim vəziyyətimdə "/var/log/kismet/*.dump"), iyləmə nəticələrinə olduğu kimi baxmaq olar
qəbzlər. Nəticədə mən bütün məlumatlara baxa bildim və
müvafiq MAC ünvanını yazın.

Şəbəkə kartının MAC ünvanını dəyişdirmək üçün istifadə olunan əmrlər:

ifconfig eth1 aşağı
killall dhclient
ifconfig hw ether 00:11:22:33:44:55
ifconfig eth1 yuxarı
dhclient eth1

Bütün əmrlər lazım deyil, lakin bir-birinin ardınca bir neçə MAC ünvanını dəyişməyə çalışdığınız zaman onlar çox faydalıdır.
Sadəcə mənim üçün faydalı oldu, çünki... Dəyişdirməyə çalışdığım MAC ünvanı dərhal işləmədi. Mənə qadağa qoyuldu, şəbəkə söndü və geri qayıtmadı, bu da bir az zəhlətökən xətalarla məşğul olmağıma səbəb oldu.
sisteminizdə. Bəlkə də bu problemlər
səhv proqram təminatı səbəbindən və ya bəlkə də şəbəkədə eyni MAC ünvanı olan bir şəbəkə kartı olduğu üçün ortaya çıxdı.

Bütün iş stansiyaları aktiv deyildi və gələn kimi nəticələrə baxmaq üçün kismet-dən istifadə səmərəsiz idi, ona görə də başqa üsula cəhd etdim.

Şəbəkədə MAC ünvanlarının filtrasiyası kifayət qədər yüksək səviyyədə həyata keçirilib. Mən istənilən vaxt şəbəkəyə daxil ola bilərdim, çünki... Qoşulmaq istəyəndə məni qeydiyyatdan keçməyi xahiş edən bir səhifəyə apardılar.
Təbii ki, aktiv hostlar haqqında düşünərkən ağlıma nmap gəldi. Beləliklə, mən aktiv stansiyalar üçün IP diapazonunu yoxlamağa başladım.

marktwain:~# nmap -sP 10.0.0.1/22
nmap 3.81 (http://www.insecure.org/nmap/) 23-05-2005 12:54 EEST-də başlayır
Host 10.1.0.14 hazırdır.
MAC Ünvanı: 00:0E:35:97:8C:A7 (Intel)
Host 10.1.0.95 hazırdır.

Host 10.1.0.109 hazırdır.
MAC Ünvanı: 00:0D:54:A0:81:39 (3Com Europe)
...snip...
Host 10.1.2.92 hazırdır.
MAC Ünvanı: 00:02:2D:4D:1C:CE (Agere Systems)
Host 10.1.2.187 görünür.
MAC Ünvanı: 00:02:2D:4D:1C:43 (Agere Systems)
Nmap tamamlandı: 1024 IP ünvanı (20 host yuxarı) 53.980 saniyədə skan edildi

Bir dəstə MAC ünvanı. Ən çox
Nəticədə ortaya çıxan ünvanlar cədvəli (zənn etdiyim kimi) son bir neçə gün ərzində şəbəkəyə daxil olmuş maşınların MAC ünvanlarıdır. Cədvəldə 245 müxtəlif MAS var idi
ünvanlar. Bunun normal davranış olub-olmadığını bilmirəm
giriş nöqtələri, amma düşünürəm ki, uşaqlar bir şeyə ehtiyac duyurlar
İnternet paylanmasında dəyişiklik. Hər halda, indi məndə şəbəkəyə daxil olmuş, lakin çox güman ki, çoxdan tərk edilmiş maşınların kifayət qədər MAC ünvanları var. Bir neçə saxtakarlıq cəhdi və mən artıq neworder.box.sk saytına gedirdim...

3. 2 nömrəli cəhd - ICMP tunelləmə.

İstədiyim hər şeyi yerinə yetirdim, amma bu şəbəkədə hələ də qazmağa yer var idi. Amma nə
Bu şəbəkə olmasaydı, mən bunu edə bilərdim
mənim bir dənə də maşınım olmazdı? Əgər
nmap bütün bu MAC ünvanlarını açıb göstərməzmi? Buna görə də, giriş əldə etmək üçün başqa bir yol sınamağa qərar verdim.

Bu, əvvəllər qeyd edilmədi, ancaq sistemi yan keçin
İnternet paylama icazəsi verən və DHCP, şəbəkə ICMP mesajlarının sərbəst şəkildə keçməsinə icazə verdi. Hər hansı bir İnternet saytının fəaliyyətini yoxlamaq mükəmməl işlədi (həqiqətən onu niyə bloklamadıqlarını başa düşə bilmirəm - unutduqları halda), ping
hətta serverimdə işləyən snayferdə də aşkar edildi.
Planım universitetdəki laptopumla evdəki server arasında tunel yaratmağa çalışmaq idi. Və bütün əlaqələri ondan keçir.
İnternetdə ICMP tunel proqramlarını axtardım, lakin heç biri istədiyim kimi işləmədi (yəni mən bunun sadə olmasını istədim - belə ki, sevimli brauzerimi və ya hər hansı başqa proqramı işlətsəm, o, sadəcə tunellə işləyəcək) və ya heç olmasa
həzm oluna bilən görünürdü.

4. Bir az kodlaşdırma.

Əvvəlcə heç nəyi kodlamağı planlaşdırmırdım. Sadəcə bəzi ICMP tunel proqramlarını sınadım
paket fırtınası ilə, lakin birdən mən onlardan birinin mənbə kodunu oxudum və bunun nə qədər heyrətamiz dərəcədə sadə olduğunu və belə bir şey etmənin nə qədər asan olacağını başa düşdüm. Proqramın adı - itunnel -
ICMP tunelləmə üçün ümumi yardım proqramı. Itunnel əladır. Ancaq bu, sadəcə bir tuneldir. Siz onu bir maşında işlədirsiniz və sonda ikisini birləşdirdiyiniz kimi görünür
şəbəkə kartları birlikdə. Etmək istədiyim şey üçün bu kifayət deyildi.
Mən artıq TUN/TAP kernel modulu haqqında eşitmişəm ki, bu da istifadəçi proseslərinə məlumat paketlərini birbaşa nüvədən / nüvədən qəbul etmək və göndərmək imkanı verir.

Proqram virtual şəbəkə interfeysi yaradır.
O, şəbəkə interfeysi yaradır
tam eyni işləyir
standart Ən maraqlısı da budur
istifadəçi proqramları olmalıdır
interfeys üçün fiziki təbəqə kimi çıxış edir
tunel. Onlar məlumat paketlərini oxumalıdırlar
cihaz faylı (məsələn, "/dev/net/tun0") və onları istənilən vasitə ilə yönləndirin və cavab paketləri yazın
fayla qayıdın.

Heç bir yaxşı mənbə tapa bilmədim
TUN/TAP tərəfindən, lakin tunelləri üçün TUN/TAP-dan istifadə edən vtun proqramı var.
vtun mənbələrindən istifadə etdim. Bir az araşdırmadan sonra məlum oldu ki, yaratmaq, oxumaq və tuna yazmaq üçün istifadə edilən kiçik funksiyalar kitabxanası var*
cihazlar. Bir neçə biti düzəltmək olarsa, niyə özüm proqram yazmalıyam?
Əslində yazdığım kod:

# "driver.h" daxil edin /* vtun kitabxanasını elan edin */
#daxildir
#daxildir

/* itunnel-dən bir qədər dəyişdirilmiş main().
*/
int run_icmp_tunnel (int id, int paket ölçüsü, char *desthost, int tun_fd);

/* maksimum vahid - maksimum
kapsullaşdırılmış paket ölçüsü

*/
const int mtu = 1400;

int main(int argc, char **argv) (
char *dev;
int tun_fd = 0;

/* tunel cihazı yaratmaq */
dev = (char *) malloc(16);
əgər (dev == NULL) (
printf("əgər heç vaxt problem yaşamamısınızsa
16 bayt ayrılır\"
"yaddaş ilk dəfədir. Fatal.n");
qayıt 1;
}
dev = 0;
/*
gözəl kitabxana funksiyası
from vtun kimi boş sətir qəbul edir
*
* arqument, tunX cihazı yaradır və
onu *dev-ə ötürür
*/
tun_fd = tun_open(dev);

əgər (tun_fd< 1) {
printf("Cihaz yaratmaq mümkün deyil. Fatal.n");
qayıt 1;
}
başqa(
printf("Tunel qurğusu yaradıldı: %sn", dev);
}

/* 7530 ICMP id sahəsidir,
tuneldəki paketlər üçün istifadə olunur

*/
run_icmp_tunnel(7530, mtu, argv, tun_fd);

tun_close(tun_fd, dev);
}

O budur. Və əksəriyyəti şərhlər və səhvlərin yoxlanılmasıdır

Artıq qeyd etdiyim kimi, itunnel tunel tikintisi üçün idealdır. Onun əsas funksiyası var
giriş, çıxış və yuva üçün açılmış fayllar; Həmçinin
Komanda xətti üçün bəzi parametrlər aldım (məqsədlərim üçün faydalı ola bilər). Sonra, o, sadəcə məlumat paketlərini daşıyan bir qədər mücərrəd funksiya adlandırdı. ICMP başlığı pulsuz
kodda təsvir edilmişdir və asanlıqla hər hansı digər başlığa dəyişdirilə bilər,
giriş/çıxış/soket bəzi digər məntiqi sxemə görə konfiqurasiya edilə bilər - funksiya minimal düzəlişlərlə işləyəcək.

Etdiyim ən böyük dəyişiklik bütün əmr xətti manipulyasiyasını silmək idi - mahiyyətcə bir neçə kod blokunu silmək. Tunel məntiqi üçün ən əsası, hər ikisi olduğu üçün giriş və çıxış arasındakı fərqi aradan qaldırdım
eyni deskriptorda (tunX cihazı) asın -
kimi davranmaq əvəzinə mənə bunu verdi
netcat və stdin-i ICMP yuvasına və ICMP yuvasını stdout-a ötürün,
o, tunX cihazına (brauzerdən http sorğuları kimi) ICMP-yə gedən siqnal göndərir
soket və ICMP yuva çıxışı (sanki HTTP
serverdən sorğular geri göndərildi
tunel vasitəsilə) tunX cihazına (to
brauzerə qayıdacaq). Son cümlə çox uzun və mürəkkəb olduğundan, təsvir etmək üçün kiçik bir diaqram təqdim edirəm:

Cavab məlumat paketləri eyni yolu izləyir, lakin
başqa yolla.

Bir anda kifayət qədər dəli oldum və əslində yeni bir kod xətti yazdım. Bu belə görünür:

memcpy(&(target->sin_addr.s_addr), &(from.sin_addr.s_addr), 4);

Onun funksiyası bütün məlumat paketlərini sonuncu paketin gəldiyi yerə göndərməyə başlamaqdır. Mən bacarıram
onu serverimdə işlədin və qoşulun
istənilən yerdən tunel vasitəsilə bir paket göndərin
və o, dərhal alıcının IP-sini IP-yə dəyişir
mənim laptopum.

Nəticəni buradan götürə bilərsiniz:

5. Tunellərin quraşdırılması.

Tuneli evdə sınaqdan keçirdim və o, yaxşı işlədi, amma evdə təhlükəsizlik divarı yox idi. Ertəsi gün universitetdə bunu real həyatda sınamağa hazır idim. Təsadüfən kafedə masa arxasında əyləşərkən saxtakarlıqdan istifadə edərək MAC ünvanı tapdım və tunel qurdum.

Sınadığım bütün axmaq şeyləri və etdiyim kiçik təcrübələri xatırlamaq çətindir, ona görə də bu hissəni mümkün qədər mütəşəkkil etməyə çalışdım. Mən əslində hər şeyi aydın şəkildə etməmişəm.
Hər şeyin mənim üçün işləməsi üçün
Bu, 3 saat çəkdi və mən bacardığım hər şeyi sınadım və hər yerdə qoxuladım və kodu dəyişdirdim ki, o, məlumat paketini alanda "Paket!", öz paketini göndərəndə isə bezdirici bir şey oxusun. Və s.

Bu əmrləri serverdə icra etdim:

tsee-diees:~# ./create_tun wifi.ttu.ee
Yaradılmış tunel cihazı: tun0

Dayandı ./create_tun wifi.ttu.ee
tsee-diees:~# ifconfig tun0 mtu 1400 192.168.3.1 yuxarı
tsee-diees:~# marşrut əlavə et 192.168.3.2 tun0
tsee-diees:~# tethereal -i eth0 -f "icmp"

Bunun dərhal işləyəcəyini düşündüm və sadəcə bunu laptopumda işə saldım:

marktwain:~# ./create_tun 194.204.48.52
Yaradılmış tunel cihazı: tun0

Dayandı ./create_tun 194.204.48.52
marktwain:~# ifconfig tun0 mtu 1400 192.168.3.2 yuxarı
marktwain:~# marşrut əlavə edin 192.168.3.1 tun0
marktwain:~# tethereal -i eth0 -f "icmp"

Mənə lazım olan şey yaratmaq idi
üzərində iki host olan şəbəkə - server 192.168.3.1 və noutbuk 192.168.3.2. Sadə normal LAN, yalnız onun fiziki təbəqəsi ICMP tuneli olacaq. Yəqin sənin kimi
məqalədə qalan mətndən başa düşülür
üsul həqiqətən işə yaramadı. Pinq etməyə başladım ("ping 192.168.3.1"), lakin paketlər hələ də keçmirdi.

Xoşbəxtlikdən, noutbukdakı sniffer mənə kiçik bir ipucu verdi - ICMP paketləri cavab cavabları idi. Əlbəttə, etmirlər
gedirdilər. Beləliklə, biz tuneli öldürürük, noutbukda itunnel-i aktivləşdiririk və icmp qaytarma cavablarından istifadə edirik (“icmp->type = 0;” ifadəsini “icmp->type = 8;” olaraq dəyişdirin), tuneli qaytarırıq.
Sistem hələ də işləmədi, amma bu dəfə paketlər
serverdəki snifferdə göründü.

Nə səhv ola bilər? Növbəti paket gələndə “Paket!” deyə qışqırmalı olan bir modifikasiyaya cəhd etdim, lakin nidalar alınmadı
ayağa qalxdı. "Niyə, əslində," deyə maraqlandım, "firewall quraşdırılıbsa, İnternetdən bütün ICMP paketlərini bloklamalıdır?" Bir müddət sonra bunun əslində belə olduğunu başa düşdüm (İnternetdən gələn bütün ICMP paketləri bloklandı).

Artıq daha yaxşı. Tunel "Paket!" , və cavablar serverdəki snifferdə görünə bilər. Əslində, hər sorğuya iki cavab var, onlardan yalnız birini noutbukda snifferdə görmək olar. Və ping hələ də işləmir.

İki paketdən biri lazımsız olduğundan, nüvəyə icmp göndərmələrinə cavab verməməyi söylədim:

tsee-diees:~# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Və pinglər keçməyə başladı! Bu zaman mən hələ də serverə daxil olmaq üçün saxta MAC ünvanına güvənirdim. İdeya qeydiyyatdan keçməmiş istifadəçidən paketlərin hər iki istiqamətdə hərəkət etməsi olduğundan, MAC ünvanlarını aldatmağı dayandırdım. Eyni zamanda tunel fəaliyyətini davam etdirdi ki, bu da kifayət qədər xoş sürpriz oldu.

Paket axını quruldu və "İnternet"in işləmə vaxtı gəldi.
IP-də bəzi dəyişikliklər etmək lazımdır
noutbukda marşrutlaşdırma. Keçid yolu
universitetin simsiz marşrutlaşdırıcısı serverin tunel ünvanı ilə əvəz edilməli idi (bu halda 192.168.3.1). Hələ də tunelin özü işləyə bilməsi üçün serverə gedən yol olmalıdır (ICMP tunel paketləri də izləmək üçün bir yola ehtiyac duyur).
Bəzi yaxşı nəticələr əldə etdim:

marktwain:~# marşrut əlavə et 194.204.48.52 gw 10.0.0.111 # simsiz marşrutlaşdırıcı vasitəsilə
marktwain:~# default olaraq marşrut
marktwain:~# marşrut əlavə et default gw 192.168.3.1 # tunel vasitəsilə qalan hər şey.

Mən bir növ ağıllı olduğum üçün fikirləşdim ki, aralarında uyğunsuzluq ola bilər
serverə və serverdən göndərilən paketlərin sayı. ping etməyə başladım
vəziyyəti izləmək üçün fonda:.

marktwain:~# ping 194.204.48.52 -i 0.2
PING 194.204.48.52 (194.204.48.52) 56(84) bayt məlumat.

Əlbəttə ki, heç bir cavab yox idi, çünki bunlar “tunel pingləri” deyildi və nüvədən gələn cavablar belə idi.
söndürüldü.

Çünki mənim serverim artıq təlim keçmişdi
İnternet bağlantısını bir neçə kompüter arasında paylaşmaq üçün serverdə etməli olduğum tək şey iki qayda əlavə etmək idi
Iptables-də FORWARD zənciri tun0-dan və tun0-a paketləri qəbul edir. Mövcud qaydaları müntəzəm olaraq yoxlayanda ("iptables -vL FORWARD") əlaqə birdən kəsildi. Mən bu məsələni yenidən bağladım və araşdırdım,
lakin tezliklə əlaqə yenidən kəsildi. Mən həqiqətən təəccübləndim - niyə əlaqə bu qədər qeyri-sabitdir?
Düşündükdən sonra anladım ki, server hər dəfə böyük ICMP cavabı göndərir
(hər şeydən sonra, yalnız ping başlığı 1400+ idi), rədd edildi
avadanlığın özü. Çünki tunel fiziki idi
IP səviyyəsində TCP təbii olaraq paketləri yenidən göndərməyə çalışdı, lakin ölçü hələ də eyni idi və onlar hələ də atıldı. Beləliklə, tunel üçün MTU-nu 300 (in
ümumiyyətlə təsadüfən desək)

marktwain:~# ifconfig tun0 mtu 300
tsee-diees:~# ifconfig tun0 mtu 300

Və bütün sistem işlədi.

6. Nəticə.

İndi özünüz edin.