Цитата:
Сообщение от nahab
nahab said:
↑
суть такова, пров записал сессии скажем ноября, а в феврале я сменил роутер и продал ноутбук. Как привязать ко мне тот старый мак, он ведь будет отсвечивать только в тех отчетах, а что там за устройство и кто к нему подключался хз уж.
|
Есть такая штука, как справедливо писали выше - СОРМ. Это один или несколько серверов, установленных на магистральных каналах провайдера, на которые зеркалируется весь проходящий через них трафик.
Более того, даже мелких провайдеров, имеющих свой собственный клиентский NAT, заставляют зеркалировать трафик в двух местах - до магистрального маршрутизатора, в который воткнут uplink от клиентов, и сразу после него, что позволяет получить соответствие "internal IP" -> "external IP", а на сам маршрутизатор предписывают установить программный агент, выгружающий всю статистику по соединениям с NetFlow.
Далее, с точки зрения биллинга твое подключение предстваляет собой договор, привязаннный к конкретному физическому или юридическому лицу, связанный с техническими параметрами предоставления доступа. Эти параметры включают идентификацию оконечного абонентского устройства - например, номер коммутатора и номер порта на нем, куда включен абонент (для подключения по Ethernet или FTTB), номер телефона (при ADSL). Фактически (с учетом журнала кроссировок) - это конкретный кабель, идущий домой к конкретному абоненту. Поэтому сколько МАС не меняй (а провайдеры иногда практикуют MAC Security с изменением МАС-а уведомительным порядком) - на простоте идентификации это никак не скажется.
Действительно, mitm для http-трафика современные решения СОРМ (хоть от "МФИ Софт", хоть от "Норси-Транс", да и остальные) делать не умеют, они много чего не умеют - тот же Skype, например. Однако с точки зрения оперативно-розыскной деятельности поиск потенциального интересанта выглядит примерно так:
- заинтересовал компентные органы гражданин Пупкин (например, постом в контактиГЕ)
- определяется перечень лиц в разработку
- по этим лицам провайдеры предоставляют полную детализацию трафика за определенный период
- уполномоченный сотрудник знакомится с этой детализацией, и через некоторое время наступают печальные последствия - гаснет свет, изымается вся техника, а подозреваемый допрашивается с пристрастием (тут НЕ подразумевается физическое воздействие, ибо неподготовленный и не знающий, как себя вести гражданин в стрессовой ситуации обычно и сам говорит больше, чем следует)
Теперь подумай о том, что находится в распоряжении сидящего за пультом СОРМ обержандарма:
- весь трафик на все узлы за определенное время
- для нешифрованного трафика - полное его содержание (не только User Agent - все headers и body любых http-запросов, содержимое переданных картинок, содержикое писем по POP3|SMTP|IMAP, да и вообще по любым нешифрованным протоколам
- для нешифрованного трафика - по крайней мере, время начала сессии, нешифрованные поля в протоколе взаимодействия, и тому подобное
- не забудь про DNS-запросы - кладезь информации для вдумчивого оперативника, скажем, из двух подозреваемых лиц тётя Клава, ходящая в "Одноклассники" и на "Ламоду", и студент Дима, ходящий в то же время как на "ВКонтактик", так и на "Античат", "ХакерНьюз" и какой-нибудь exploit-db, последний имеет несомненный приоритет
Именно поэтому заниматься никакими, даже "серыми" схемами из, скажем так, своего "родного" подключения, категорически не рекомендуется.
А ты говоришь "роутер выкину" .... вообще есть хорошее правило - в стране проживания ни ни !
