-
![[image]](https://www.balancer.ru/cache/uploads/images/1247/128x128-crop/1247620-2885312134_1e80bd8362_o.jpg)
прокся
Теги:
marata
Обалдеть, сколько из АйПишника можно информации вытянуть 
Прикреплённые файлы:
инфо
инструменты
Mishka
Bredonosec
marata> Обалдеть, сколько из АйПишника можно информации вытянуть
- согласен, что не только ИП.
Вон, я надысь (страницей ранее) показывал содержимое пакета тср-шного, и то неполно расшифровал...
короче, первая группа (блок) - из данных пакета,
вторая - чисто ип,
о проксе инфа - из пакета, прозрачная чего-ттам добавляет (давно читал).
насчет юзер агента - это отдельные запросы, которые машина сама сообщает серву, напр, вот тебе лог обмена данными флешгета с сервом:
- вот и арссматривай, что отдельно упоминание агента, типа хттп, реферрера (откуда ссылка), контент типа, и т.д.
А что касаемо разрешения экрана - у тебя жабаскрипт разрешен
У меня где-то валяется скриптик, встраиваемый в страницу хтмл, который запрашивает разрешение экрана юзера и в зависимтсти от отвеат отдает ту или иную страницу
Аналогично с глЫбиной цвета и размером окна - эти фичи жабаскрипт может взять. Равно как и много других.
- согласен, что не только ИП.
Вон, я надысь (страницей ранее) показывал содержимое пакета тср-шного, и то неполно расшифровал...
короче, первая группа (блок) - из данных пакета,
вторая - чисто ип,
о проксе инфа - из пакета, прозрачная чего-ттам добавляет (давно читал).
насчет юзер агента - это отдельные запросы, которые машина сама сообщает серву, напр, вот тебе лог обмена данными флешгета с сервом:
code text
- Wed Nov 15 15:25:28 2006 Соединение с www.ruslab.info:80
- Wed Nov 15 15:25:31 2006 Соединяемся с www.ruslab.info [IP=69.41.186.21:80]
- Wed Nov 15 15:25:31 2006 Соединение установлено
- Wed Nov 15 15:25:31 2006 GET /translation/adept.rus.easy.cd-da.extractor.9.1.3.1.full.registered.rar HTTP/1.1
- Wed Nov 15 15:25:31 2006 Host: www.ruslab.info
- Wed Nov 15 15:25:31 2006 Accept: */*
- Wed Nov 15 15:25:31 2006 Referer: http://www.ruslab.info/translation
- Wed Nov 15 15:25:31 2006 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
- Wed Nov 15 15:25:31 2006 Pragma: no-cache
- Wed Nov 15 15:25:31 2006 Cache-Control: no-cache
- Wed Nov 15 15:25:31 2006 Connection: close
- Wed Nov 15 15:25:32 2006 HTTP/1.1 200 OK
- Wed Nov 15 15:25:32 2006 Date: Wed, 15 Nov 2006 13:26:14 GMT
- Wed Nov 15 15:25:32 2006 Server: Apache/1.3.37 (Unix) mod_ipdrop/0.01 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4
- Wed Nov 15 15:25:32 2006 Last-Modified: Tue, 13 Jun 2006 11:34:09 GMT
- Wed Nov 15 15:25:32 2006 ETag: "6fcaac-3e41d3-448ea2b1"
- Wed Nov 15 15:25:32 2006 Accept-Ranges: bytes
- Wed Nov 15 15:25:32 2006 Content-Length: 4080083
- Wed Nov 15 15:25:32 2006 Connection: close
- Wed Nov 15 15:25:32 2006 Content-Type: text/plain
- Wed Nov 15 15:25:32 2006 Переход в состояние [Закачка]
- вот и арссматривай, что отдельно упоминание агента, типа хттп, реферрера (откуда ссылка), контент типа, и т.д.
А что касаемо разрешения экрана - у тебя жабаскрипт разрешен
У меня где-то валяется скриптик, встраиваемый в страницу хтмл, который запрашивает разрешение экрана юзера и в зависимтсти от отвеат отдает ту или иную страницу Аналогично с глЫбиной цвета и размером окна - эти фичи жабаскрипт может взять. Равно как и много других.
Mishka> Ты уверен, что это из IP? 
Давай IP для эксперимента
Хотя Bredonosec убедительно все описал.
Давай IP для эксперимента
Хотя Bredonosec убедительно все описал.
>Давай IP для эксперимента
ну, скажем, 212.122.64.13
какое разрешение экрана, юзер агент и т.д. ?
Или, напр, 72.32.40.232
доменное имя, или страну дислокации называть не надо
ну, скажем, 212.122.64.13
какое разрешение экрана, юзер агент и т.д. ?
Или, напр, 72.32.40.232
доменное имя, или страну дислокации называть не надо
>>Давай IP для эксперимента
Bredonosec> ну, скажем, 212.122.64.13
Bredonosec> какое разрешение экрана, юзер агент и т.д. ?
Действительно, не канает
Bredonosec> ну, скажем, 212.122.64.13
Bredonosec> какое разрешение экрана, юзер агент и т.д. ?
Действительно, не канает
Ребят, вы оба показали инфу из HTTP — браузер ее посылает (GET видите? Это как раз признак HTTP). Да, HTTP идёт поверх TCP, а тот, в свою очередь, идёт по IP, а тот — почти наверняка — сначала по Ehternet (ну, может по модему — хотя вариантов ещё может быть куча), а потом может идти и FR, и по ATM, и т.д. Можно и ниже опускаться — до электрических сигналов и квантов света.
Т.е. видимое — это творчество браузера — в основном. Многое из этого можно отрубить или перенастроить так, что будет не вся правда передана.
Т.е. видимое — это творчество браузера — в основном. Многое из этого можно отрубить или перенастроить так, что будет не вся правда передана.
>Многое из этого можно отрубить или перенастроить так, что будет не вся правда передана.
- Ага, напр, вот так
- Ага, напр, вот так
Прикреплённые файлы:
надеюсь, не надо скринов на содержание расширений по проксям? Или в адблоке "скрытая реклама" - ежели установлено, что юзверь обязан глядеть рекламу, чтоб получить чего-то, а её глядетьь неохота, то ставим - и вуаля, она якобы "смотрится" (в отличие от обычного вырезания), клики сыплются куда следует, но на экране только нужная МНЕ инфа
Ну и т.д.
Или в адблоке "скрытая реклама" - ежели установлено, что юзверь обязан глядеть рекламу, чтоб получить чего-то, а её глядетьь неохота, то ставим - и вуаля, она якобы "смотрится" (в отличие от обычного вырезания), клики сыплются куда следует, но на экране только нужная МНЕ инфа Ну и т.д.
MIKLE> написал и подумал. будет тоже самое что с мобильными операторами... базовая ставка вырастет, и честный иностранный трафик будет не по баксу, а по два. и ффсё.
Опять проблемы с трафиком/хостингом. Есть угроза вырубания сервера до 29-го числа...
как в воду глядел...
Опять проблемы с трафиком/хостингом. Есть угроза вырубания сервера до 29-го числа...
как в воду глядел...
интересует вопрос:
словил (не в первый раз за последние дни) странный глюк - втыкаю адрес, вне зависимости, ИПом или доменом, ответ с серва вроде приходит (с указанием ИПа серва пакеты), но страница недогружается. Как будто мертво.
Сейчас для интереса тырнкул arp -a
получил No ARP entries found
При том, что ранее (как вроде в ветке писал ранее) ответ давал адрес гейта (соответствие МАС/ИП тип динамик.)
Любопытно, где собака порылась?
словил (не в первый раз за последние дни) странный глюк - втыкаю адрес, вне зависимости, ИПом или доменом, ответ с серва вроде приходит (с указанием ИПа серва пакеты), но страница недогружается. Как будто мертво.
Сейчас для интереса тырнкул arp -a
получил No ARP entries found
При том, что ранее (как вроде в ветке писал ранее) ответ давал адрес гейта (соответствие МАС/ИП тип динамик.)
Любопытно, где собака порылась?
недогружается, в смысле, вообще ничего, только прогрессбар до какой середины доходит и застывает там навеки. Типа, продолжается загрузка.
прописал статически - теперь сразу "готово", но страница пустая.
Bredonosec> интересует вопрос:
Bredonosec> словил (не в первый раз за последние дни) странный глюк - втыкаю адрес, вне зависимости, ИПом или доменом, ответ с серва вроде приходит (с указанием ИПа серва пакеты), но страница недогружается. Как будто мертво.
Адрес чего? Прокси? Или сервера?
Bredonosec> Сейчас для интереса тырнкул arp -a
Bredonosec> получил No ARP entries found
Сбросился кэш. Он может сбрасываться по некоторым протоколам. В принципе, должен это делать гэйт, но атака Дуга как раз предусматривает сброс кэша и переопределение гэйта на новый хост, чтобы можно было слушать весь траффик в свитчевом эзере.
Bredonosec> При том, что ранее (как вроде в ветке писал ранее) ответ давал адрес гейта (соответствие МАС/ИП тип динамик.)
Bredonosec> Любопытно, где собака порылась?
С ходу не скажешь.
Bredonosec> словил (не в первый раз за последние дни) странный глюк - втыкаю адрес, вне зависимости, ИПом или доменом, ответ с серва вроде приходит (с указанием ИПа серва пакеты), но страница недогружается. Как будто мертво.
Адрес чего? Прокси? Или сервера?
Bredonosec> Сейчас для интереса тырнкул arp -a
Bredonosec> получил No ARP entries found
Сбросился кэш. Он может сбрасываться по некоторым протоколам. В принципе, должен это делать гэйт, но атака Дуга как раз предусматривает сброс кэша и переопределение гэйта на новый хост, чтобы можно было слушать весь траффик в свитчевом эзере.
Bredonosec> При том, что ранее (как вроде в ветке писал ранее) ответ давал адрес гейта (соответствие МАС/ИП тип динамик.)
Bredonosec> Любопытно, где собака порылась?
С ходу не скажешь.
>Адрес чего? Прокси? Или сервера?
- сайта/серва. То траблы с рубордом были, вчера на боинг.ком такая же лабуда, короче бессистемно, избирательно и "далеко". %/
>Сбросился кэш. Он может сбрасываться по некоторым протоколам. В принципе, должен это делать гэйт, но атака Дуга как раз предусматривает сброс кэша и переопределение гэйта на новый хост, чтобы можно было слушать весь траффик в свитчевом эзере.
- а по какому он сбрасывается? С днс-ом команду ipconfig /flushdns знаю, с арп - не видел в синтаксисе ничего близкого..
По идее, тогда бы стоял другой МАС, а не "пусто". Да и заблокированы у меня АРП для всех кроме гейта.. РАРП вообще правил нет - всё блокировано.
Потому и удивлен. Сильно удивлен.
- сайта/серва. То траблы с рубордом были, вчера на боинг.ком такая же лабуда, короче бессистемно, избирательно и "далеко". %/
>Сбросился кэш. Он может сбрасываться по некоторым протоколам. В принципе, должен это делать гэйт, но атака Дуга как раз предусматривает сброс кэша и переопределение гэйта на новый хост, чтобы можно было слушать весь траффик в свитчевом эзере.
- а по какому он сбрасывается? С днс-ом команду ipconfig /flushdns знаю, с арп - не видел в синтаксисе ничего близкого..
По идее, тогда бы стоял другой МАС, а не "пусто". Да и заблокированы у меня АРП для всех кроме гейта.. РАРП вообще правил нет - всё блокировано.
Потому и удивлен. Сильно удивлен.
Bredonosec> - а по какому он сбрасывается? С днс-ом команду ipconfig /flushdns знаю, с арп - не видел в синтаксисе ничего близкого..
IGMP, если не ошибаюсь.
IGMP, если не ошибаюсь.
group management protocol? хм.. по идее, стоит блок в стене, но попробую поискать по инету чего-нить на тему..
Не, не групповой. Уже забывать стал. А насчёт файерволла — не обольщайся — они, очень часто работают на уровне 3. А ARP — это немножко ниже — как раз между 2 и 3.
DNS отношения к ARP не имеет. DNS — это отображение имен в IP адреса и назад. ARP и RARP — это отображение между IP адресами и нижележащими технологиями — для эзера — это отображение IP адреса в эзернетовский и RARP наоборот.
DNS отношения к ARP не имеет. DNS — это отображение имен в IP адреса и назад. ARP и RARP — это отображение между IP адресами и нижележащими технологиями — для эзера — это отображение IP адреса в эзернетовский и RARP наоборот.
виснетик арп давит. По крайней мере, именно за это его и взял.
команду флашднс помянул как аналогию, чего ожидать, а не в связи
АРП как связь мас-ип знал. РАРП, получается, это перевод МАСа в ип? Любопытно, что ни разу не понадобилось сего, хотя пакеты под арп правила вижу регулярно.
>Не, не групповой.
igmp
порыл гугель по вопросу - как-то невнятно. буков много, смысла не очень
команду флашднс помянул как аналогию, чего ожидать, а не в связи
АРП как связь мас-ип знал. РАРП, получается, это перевод МАСа в ип? Любопытно, что ни разу не понадобилось сего, хотя пакеты под арп правила вижу регулярно.
code text
- 2007/01/02, 15:33:03.020, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.90, dst=192.168.1.11
- 2007/01/02, 15:33:18.730, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.1, dst=192.168.1.5
- 2007/01/02, 15:34:06.190, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.211, dst=192.168.1.4
- 2007/01/02, 15:34:13.270, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.211, dst=192.168.1.4
- 2007/01/02, 15:34:14.370, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.211, dst=192.168.1.4
- 2007/01/02, 15:34:16.020, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.211, dst=192.168.1.4
- 2007/01/02, 15:34:16.020, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.211, dst=192.168.1.4
- 2007/01/02, 15:34:19.210, GMT +0100, 2018, Device 1, Blocked incoming ARP packet (no matching rule), src=192.168.1.211, dst=192.168.1.4
- 2007/01/02, 15:34:31.780, GMT +0100, 2111, Device 1, Rule 40, Blocked incoming MAC packet, src=00-50-22-B0-24-27, dst=FF-FF-FF-FF-FF-FF
- 2007/01/02, 15:34:56.990, GMT +0100, 2111, Device 1, Rule 44, Blocked incoming MAC packet, src=00-40-F4-11-BC-E4, dst=FF-FF-FF-FF-FF-FF
>Не, не групповой.
igmp
порыл гугель по вопросу - как-то невнятно. буков много, смысла не очень
Так, если ARP давишь, то как ты вообще с машинами другими связываешься? Или ты только с default gateway разрешаешь?
кстати, arp -d * — удалит всё из ARP таблиц.
О, забыл совсем. У ARP кэша — правило, что все динамические входы expire со временем и удаляются. Поэтому, если не связывался с DG, то можешь поиметь пустой кэш.
>Так, если ARP давишь, то как ты вообще с машинами другими связываешься? Или ты только с default gateway разрешаешь?
ага именно. Ибо нефиг остальным туда ходить Закрыл бы и его, если б не 2 момента:
1. не знаю, где статически можно прописать это так, чтоб после пеерзагрузки не херилось
2. сетевушку на гейте могут сменить и тады снова придется открыть.
>кстати, arp -d * — удалит всё из ARP таблиц.
так он звездочку понимает? А я думал, только с конкретным ипом сьест. Спасиб, бузнать
Любопытно, если на источнике, находящемся со мной в одном сегменте, подменен мас на мас гейта, и он отправляет пакет арп с подобной командой, то, по идее, может обнулить? Или для такой команды нужен другой пакет?
>О, забыл совсем. У ARP кэша — правило, что все динамические входы expire со временем и удаляются. Поэтому, если не связывался с DG, то можешь поиметь пустой кэш.
— Да в том то и дело, что настойчиво стучался на серв боинга, его не отдавало, в это время писал мессаги сюда, на базу, и постил их, а арп -а показывал кукиш. Вот это и смутило. :/ сильно так смутило. :/
ага
именно. Ибо нефиг остальным туда ходить Закрыл бы и его, если б не 2 момента:1. не знаю, где статически можно прописать это так, чтоб после пеерзагрузки не херилось
2. сетевушку на гейте могут сменить и тады снова придется открыть.
>кстати, arp -d * — удалит всё из ARP таблиц.
так он звездочку понимает? А я думал, только с конкретным ипом сьест. Спасиб, бузнать
Любопытно, если на источнике, находящемся со мной в одном сегменте, подменен мас на мас гейта, и он отправляет пакет арп с подобной командой, то, по идее, может обнулить? Или для такой команды нужен другой пакет?
>О, забыл совсем. У ARP кэша — правило, что все динамические входы expire со временем и удаляются. Поэтому, если не связывался с DG, то можешь поиметь пустой кэш.
— Да в том то и дело, что настойчиво стучался на серв боинга, его не отдавало, в это время писал мессаги сюда, на базу, и постил их, а арп -а показывал кукиш. Вот это и смутило. :/ сильно так смутило. :/
кста, также любопытно, что может быть такое:
МАС отправителя 00-04-61-00-04-61 (что уже настораживает, исходя из номеров сетевушек, какие встречал за последние лет 7), рассылка всем (FF-FF-FF-FF-FF-FF), протокол 00-66 (или иногда 00-54) и далее точки (00 00) с нетбиосным именем одного из местных компов в конце пакета.
МАС отправителя 00-04-61-00-04-61 (что уже настораживает, исходя из номеров сетевушек, какие встречал за последние лет 7), рассылка всем (FF-FF-FF-FF-FF-FF), протокол 00-66 (или иногда 00-54) и далее точки (00 00) с нетбиосным именем одного из местных компов в конце пакета.
Copyright © Balancer 1997..2021
Создано 07.11.2006
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 07.11.2006
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
