> Първо малко корекции. Не може един IP адрес да е на регистрация към > ARIN (терминлогията е друга). Обяснявам. Процедурата е следната. IANA > е централния разпределител на адресни пространства. Ето ти т.нар. > "адресен план" с алокациите към регионалните IP регистри (ARIN, RIPE, > APNIC, LACNIC). IANA раздава на регистрите мрежови пространства с > дължина /8. Те от своя страна могат да правят алокации за автономни > системи. Участниците в Интернет подават заявка към съответния > регионален регистър за алокиране на адресно пространство и включването > му в дадена автономна система. На практика регионалния регистър дава > под наем съответното адресно пространство. Разбира се има и заплащане, > иначе какъв наем е това. > > Второ, това, че един IP адрес е алокиран от ARIN още не значи, че той > географски се намира в района на действие на този регистър. Може да се > намира преспокойно в Африка или на Малдивските острови. При > съвременото развитие на VPN технологиите, може да нямаш никаква > представа къде се намира релно машината, на която е асоцииран той. > Например, в моята мрежа има едни специални 3 IP адреса, които би > трябвало да се намират в София, но на практика единият се намира в > Амстердам, а останалите два в Цукуба (Япония). Така, че не бих те > съветвал да се доверяваш на traceroute информацията, която разчита на > "next hop". > > Трето, това, че traceroute заявките ти стигат до някъде и оттам > нататък не получаваш информация за следвания маршрут е напълно > нормално явление. Просто някой администратор е счел, че няма да > допуска traceroute и толкова:) Повечето го правят за свое успокоение. > Виждал съм мрежи с отрязан traceroute и ping и с wu-ftp демони от > ранния мезозой, ntp демони, които можеш да пренастроиш отвън и да > излъжеш машината, че всъщност сега е 1979 година, и се получава така, > че слагаме филтри за протколи, а не си поддържаме демоните. Т.е. > анахронизми има много в Интернет и човек трябва да ги приема весело за > да не откачи. > > Четвърто, доколкото всеки IP протокол може да се маршрутизира > самостоятелно, може да не виждаш истинския път на TCP протокола (чрез > него се прави FTP сесия). Възможно е traceroute заявките да минават по > един маршрут, а TCP по друг. Т.е. не вярвай много на очите си. Също > така не вярвай много на traceroute и nmap инструменти да ти кажат дали > наистина хоста е UP. Може един хоста да не е UP и отново да пингваш и > traceroute-ваш този IP адрес. Едни фенове от университета в Единбург > бяха направили огледално адресно пространство за гасене на атаки. > Имаха една голяма машинка SGI и на един неин интерфейс бяха наблъскали > 140 IP адреса. Когато на централния рутер идваше ICMP echo request или > UDP пакет за портове изпозлвани за traceroute, те го насочваха към SGI > машината (същото правеха и за някой TCP пакети). От друга страна > нужните за работата на хората пакети и сесии се маршрутизираха > "правилно". Така, се получаваше, че дори една машина да е изключена > физически, тя винаги е UP за външния свят. Това ти го казвам за да > видиш на какви невероятни случи можеш да се натъкнеш. > > > Ако се свързва като anonymous какви са ти притесненията? Нали за това > имате FTP сървър. Който не иска да има FTP сесии от непознати, да не > си пуска FTP сърър. Виж, ако някой от US прави FTP сесия от името на > потребител, който е в България, си е повод за разследване. Най-малкото > питай потребителя дали се е свързвал и коя мрежа (ако въобще може да > ти каже подобна информация). Освен това хората пътуват, ползват едни > IP адреси в работата, други в къщи и т.н... Т.е. не очаквай > разследване по IP адрес да ти реши проблемите. Ако искаш всичко да > бъде изрядно от гледна точка на влизането в системата на неанонимни > поттебители, си слагаш ProFTPD и компилираш > "--with-modules=mod_tls:mod_vroot...." и правиш .tlslogin файл в $HOME > на всеки потребител и влизането става само след представяне на валиден > X.509, който ти или някое друго CA е подписало, а не с паролка (което > е турбо отвратително) в открит текст (последното е турбо мега > отвратително). Така ще имаш много по-надеждна информация кой е влизал > (кражбата на сертификат е далеч по-трудна от кражбата на паролка). > > ~ Поздрави > ~ Весо
Благодаря :) Не е това което очаквах, но информацията е полезна. Явор Атанасов ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
