Un ISP peut-il détecter si on fait du NAT?

 
euh ça doit être minusplus qui a fait ça, parce que j'ai flushé mon tableau de chasse !s

tetedeiench et jamiroq sur le même topic [:totoz]

Le numéro de séquence ca parait un peu bidon comme moyen de détecter du NAT...

fais gaffe à pas récidiver par contre ;)

 
 
Non, l'adresse IP source et le port source suffisent meme si 2 clients attaquent le meme serveur sur le meme port en meme temps.
 
Ensuite il y a les cas particuliers comme FTP où des adresses IP et des num de port se trouvent dans le payload. Le NAT doit alors modifier ces données également.
 
Les communications cryptées posent également des problèmes.

Bon, on va corriger de nombreuses erreures (surtout les miennes).
 
 
Pour faire la translation réseau privé/réseau publique, le NAT se sert d'une table de translation. Lorsque le NAT reçoit un paquet IP de type TCP ou UDP provenant du réseau interne, il crée une entrée dans sa table de type :
 
adr source/port source       nouvel adr source/nouveau port source     adr dest/port dest
 
 
Où adr source/port sources et adr dest/port dest sont les adr IP et num de port indiqués dans le paquet IP. Le nat remplace l'adresse source par sa propre IP (c le principe du NAT) et affecte un numéro de port source unique (qu'il n'a pas deja affecté a une autre transaction, c'est à dire pas présent dans sa table).  
Un exemple :
 
Le NAT recoit un paquet de 10.0.0.2 port 1035 à destination de 193.128.0.1 port 21. Il renvoit le paquet vers 193.128.0.1 port 21 avec comme adresse source la sienne et le port source 60000.
Lorsque le NAT reçoit la réponse de 193.128.0.1 il regarde dans sa table quelle transaction utilise le port 60000 et il transmet le paquet a 10.0.0.2 en modifiant le port dest en 1035.
 
 
Donc le NAT utilise les num de port pour faire sa translation.
 
 
Maintenant ca pose un problème : les protocoles ne reposant pas sur TCP/UDP et ne disposant donc pas de numéro de port. Il s'agit d'ICMP. Dans ce cas, le NAT utilise l'ID de sequence pour établir sa table de translation.
 
 

je t'ai débanni hier

au fait jamiroq, t'es plus banni sur OSA
 
 

 
Je n'ai fait que traduire l'url que j'ai indiqué. C'est à tester donc.
 

 
Je ne pense pas qu'une passerelle NAT s'oqp de re-assembler les paquets.
 
 
Jamiroq : tu peux expliquer a quoi correspondent les différents champ de la table conntrack ?
 
Merci

Le numéro de séquence ca parait un peu bidon comme moyen de détecter du NAT...

la gestion des sessions/entrées dans la conntrack table se fait en très grande partie grace aux nuémros de séquences ... tu as une série différente pour chaque client NATé ayant une connexion à ce moment là ... et tu le retrouves dans les numéros de séquence générés par ta gateway pour envoyer les paquets sur Interpouet ... et ça saute aux yeux ... :o

 
bon faut que je te pete une table de conntrack pour te prouver que c pas detectable ?
 
la mac adresse de sortie est celle de ton modem adsl rien d'autre mon cher ..et ceux qui me croivent pas on qu'a faire un sniff (tcpdump)
 
..le TTL ...ahah : netfilter peut reajuster le ttl en sortie ..bisous

 
ouaihp ... a verifier donc .
perso qd je nat c bel et bien ma gateway qui est cliente des paquet s demandé donc elle est ..unique !!c elle ensuite grace a la table conntrack qui defragmente (en fonction de la mtu) et et achemime le paquet a mes ti pc .

Un TTL réajusté ca se voit comme le nez au milieu du visage ... [:jetaime]
Pis tu fais quoi des numéros de séquences un peu bizarres générés par ta conntrack tables ? ca aussi ca se répère ... [:jetaime]

ouais enfin si tu partages ta connec dans un immeuble plein de pti con faut bien configurer ton partage pour bloquer tout les P2P et bien balancer ta charge, car un con qui dl du cul toute la soirée ca doit etre bien genant :o

Euh le coup du NAT qui change la valeur du TTL pour savoir a quelle client attribuer quel paquet ca me parait EXTREMEMENT louche.
 
Tout d'abord tous les routeurs décrementent le TTL. Le client et le serveur indiquent le TTL qu'il veut. En clair, dans la trame émise en réponse par le serveur, le TTL peut etre n'importe quoi.
 
sflow se sert du TTL pour détecter l'utilisation de NAT. Car comme tout routeur, une passerelle NAT décrémente le TTL. En comparant la valeur de TTL qui sort du réseau suspect avec les valeurs de TTL normalement utilisés par les OS classiques, sflow détecte la présence d'une passerelle.
 
Généralement, le NAT se sert du numéro de séquence du paquet IP pour faire la correspondance entre les paquets reçus et les paquets émis.
 
Ensuite on peut faire une estimation du nombre de machines derriere la passerelle en examinant les numéros de séquences. Normalement une machine, incrémente son numéro de sequence  d'une certaine valeur a chaque nouvelle connexion. Si l'on détecte les numéros 63286 pis le numéro 12500 dans un intervalle de temps réduit, on peut en déduire que ces paquets proviennent de 2 machines différentes.
 
http://www.sflow.org/detectNAT/

 
bon faut que je te pete une table de conntrack pour te prouver que c pas detectable ?
 
la mac adresse de sortie est celle de ton modem adsl rien d'autre mon cher ..et ceux qui me croivent pas on qu'a faire un sniff (tcpdump)
 
..le TTL ...ahah : netfilter peut reajuster le ttl en sortie ..bisous

Si ils veulent se donner la peine de chercher ils le veront ...
L'ID du client NAT est spécifié dans la trame par le routeur, sinon comment voulez vous que le routeur sache quel client à fait la demande de tel ou tel page HTML par exemple (je ne parle pas de routing de ports ici).
 
Mais même Wanadoo possède des offres avec des modem/routeur/wifi à présent donc c'est plus que toléré.