|
Суть в том, что при работе со спутниковым прокси, пакеты исходящие от Вас, вообще говоря могут быть не Вашими, т.е. идти физически с Вашего компьютера, но иметь исходящий (source) ip адрес не Вашего (чужого, не используемого и т.д.) хоста. Этот хост может ничего не знать о Вашей работе, так как скорее всего сам он не работает со спутниковым прокси сервером.
Как такое стало возможно? Дело в том, что прокси сервер отсылает пакеты вам не через наземный канал, а через спутник и абсолютно всем желающим его принять. Вы сами в настройках фильтра DVB настраивайте фильтр, который собственно определяет, какие адреса пускать в TCP/IP стек операционной системы. Хосту, владеющим искомым IP адресом, Ваши пакеты никак не мешают, так как при дороге туда - они проходят сразу к роутеру провайдера, а при дороге оттуда - идут через спутниковый канал, и появляются только в DVB картах, настроенных на заданный транспондер спутника.
Почему провайдеры не запрещают подобные соединения на своих файрволах?
Вообще говоря запрещают, но только в пределах своих подсетей (это называется защита от ip-spoofing), но и то не все. А тех, кто делает проверки у самого подступа к клиенту, видимо, намного меньше. Любая дополнительная проверка пакетов, повышает нагрузку на роутеры, сложность конфигурационных файлов. Вообще-то это вопрос к провайдерам, видимо жалоб не было. Потом, легче запретить доступ к спутниковым прокси серверам, сославшись на недостаточность инфраструктуры по ее поддержке.
Использование может состоять в расходовании исходящего трафика с ip адресов не принадлежащему клиенту провайдера, если клиент подключен по выделенной линии и работает с тарификацией трафика. Клиент-злоумышленник может использовать неиспользуемые провайдером IP адреса или IP адреса других клиентов.
Dial-up доступ также подвержен угрозе. В так называемом гостевом доступе, выдаются внутренние IP адреса - например из блока 10.0.0.0/8, c доступом на внутрение сервера провайдера. Однако не всегда происходит проверка исходящих пакетов, что позволяет использовать IP адреса из обычных модемных пулов.
Пример:
Злоумышленник на dialup получил IP адрес 10.0.0.7 и ему известно, что при нормальном доступе он бы получил IP 222.222.222.222. Его компьютер является роутером и соединен по ethernet c компьютером
с DVB картой. Он прописывает IP адрес 222.222.222.222 на компьютере с DVB картой, указывая в качестве шлюза компьютер соединенный по dialup, назначив ему 222.222.222.221 на сетевой карте (на модеме 10.0.0.7) с маской сети 255.255.255.252. Пакеты с 222 попадая на 221, отсылаются на модемный пул (шлюз провайдера), и даже если реальный 222 работает на другой физической линии, они никак друг-другу не мешают. Провайдер отсылает эти пакеты прокси серверу спутникого провайдера. Прокси сервер отвечает через спутниковый канал, и в итоге пакеты попадают в DVB карту и фильтруются для IP 222.222.222.222. Забыл сказать самое главное, злоумышленнику нужен нормальный аккаунт у спутникого оператора. :) О том как его получить, как-нибудь в следущий раз...
|
