क्या यह बताना संभव है कि दो आईपी पते एक ही सर्वर के हैं?

21

दो सार्वजनिक आईपी पते और ज्ञान जो एक ही / 27 नेटवर्क पर दोनों हैं, को देखते हुए, क्या यह एक दूरस्थ स्थान (अर्थात अलग-अलग देश) से निर्धारित करना संभव होगा यदि वे एक या दो सर्वर से संबंधित हैं?

networking 
मिशेल
स्रोत
2
क्या आप इस बात पर विस्तार से बता सकते हैं कि आप क्या करने की कोशिश कर रहे हैं और सर्वर की प्रकृति की पहचान करने की कोशिश कर रहे हैं?
बोबस्ट्रो
3
पिंग टाइमिंग एक सुराग प्रदान कर सकती है - उदाहरण के लिए, यदि सभी आईपी एक यादृच्छिक समय में प्रतिक्रिया करते हैं, लेकिन उनमें से दो लगभग एक ही देरी से प्रतिक्रिया करते हैं।
10
क्या आपको DoS एक की अनुमति है और देखें कि क्या दूसरा अप्रतिसादी भी हो जाता है?
बेन वोइग्ट
1
@ AndréDaniel पिंग टाइमिंग पूरी तरह से विफल हो जाएगा अगर सर्वर colocated हैं। वही रैक एक ही सर्वर नहीं है।
टॉमटॉम

जवाबों:

29

नहीं, यह सामान्य मामले में नहीं है।

एसओ को हमारे मेहमानों को खुश करने के लिए कुछ अतिरिक्त:

  • आधार टीसीपी / आईपी प्रोटोकॉल (उदाहरण के लिए आईपी / टीसीपी / यूडीपी, आईसीएमपी) में कुछ भी नहीं है जो विशेष रूप से प्रश्न में पूछे गए भेद बनाने के लिए है।
  • कई उच्च स्तरीय प्रोटोकॉल, जैसे HTTP के लिए भी यही सही है।
  • सिस्टम के बारे में अनुमान लगाने के लिए उत्तर पैटर्न में अधिक या कम सूक्ष्म अंतर का उपयोग करना वास्तव में संभव है। यदि आपके पास दो अलग-अलग प्रणालियाँ हैं, जैसे कि एक लिनक्स और एक विंडोज सर्वर, तो यह दो मेजबानों के बारे में सुनिश्चित करने के लिए पर्याप्त हो सकता है।
  • यह और अधिक कठिन हो जाएगा सिस्टम के समान हैं। इसी तरह के हार्डवेयर और OS वाले HA वेब क्लस्टर में दो नोड्स को इस तरह अलग रखना असंभव है। मैं आज अधिकांश परिदृश्यों में इसे सामान्य मामला मानता हूं।
  • अंत में: क्या एक ही भौतिक बॉक्स पर दो वर्चुअल मशीन एक या दो सर्वर हैं? इस पर निर्भर करते हुए कि आप पहली जगह में अंतर करने की कोशिश क्यों करते हैं, यह महत्वपूर्ण हो सकता है और नेटवर्किंग स्तर पर यह बताना पूरी तरह से असंभव है।
स्वेन
स्रोत
2
स्वेन का उत्तर 100% सही है, लेकिन यह अनुमान लगाना संभव हो सकता है कि क्या वे अलग-अलग ऑपरेटिंग सिस्टम चला रहे हैं ( नैम के माध्यम से या पिंग टेस्ट यहाँ वर्णित है kellyodonnell.com/content/determining-os-type-ping )। वे दोनों अभी भी एक मेजबान से भाग रहे vms हो सकते हैं, हालांकि।
एंडी
1
@Andy: इसलिए मैंने "सामान्य मामले में" कहा है। कुछ मामलों में, आप पता कर सकते लेकिन दूसरी ओर, कुछ मामलों में आपको लगता है कि एक ही आईपी पते के पीछे एक कंप्यूटर लेकिन एक सौ ... नहीं भी नहीं नोटिस कर
स्वेन
3
@Sven: सवाल यह है कि क्या दो IP एक एकल कंप्यूटर से सहसंबंधित हैं, न कि यह कि क्या एक सामान्य IP कई सेवाओं से संबंधित है। मैं मानता हूं कि हर बार काम करने के लिए एक सार्वभौमिक विधि की गारंटी नहीं है, लेकिन अगर कोई प्रतिक्रिया प्राप्त करने के बीच पर्याप्त समानता पा सकता है, तो उचित अनुमान लगाना संभव हो सकता है। मिशेल को यह पता लगाने की आवश्यकता है कि क्या कोई उपयोगी समाधान मौजूद है, यह निर्धारित करने के लिए पूरा किया जाना चाहिए। क्या यह मायने रखता है कि यह एक लोड संतुलित या आभासी कॉन्फ़िगरेशन है, उदाहरण के लिए?
बोबस्ट्रो
1
जब आप वर्चुअलाइजेशन में फेंकते हैं तो अस्पष्ट। मान लें कि आपके पास दो वीएम हैं, अतिथि ए और अतिथि बी, प्रत्येक अलग-अलग आईपी के साथ लेकिन एक ही / 27 नेट पर। मान लीजिए कि ये दोनों मेहमान होस्ट सी द्वारा होस्ट किए गए हैं। एक अर्थ में, दो / 27 पते अलग-अलग "सर्वर" से संबंधित हैं, लेकिन एक और अर्थ में वे एक ही एनआईसी और एक ही मेजबान से गुजर सकते हैं, इसलिए एक आईपी से बहस कर सकते हैं। उसी "सर्वर" के लिए। यदि अतिथि ए बदले में दो और वीएम, गेस्ट एक्स और गेस्ट वाई को होस्ट करता है, वह भी अपने स्वयं के / 27 पते के साथ, इनमें से कौन से आईपी एक ही कंप्यूटर के हैं? क्या होगा यदि आप इन वीएम में से किसी को "vMotion" करते हैं? मेरे पास अच्छा जवाब नहीं है।
जोशुआ ह्यूबर
13

"क्यों" के रूप में उत्सुक। दोहरी होमड मशीनों के बारे में चिंताएं आमतौर पर कुछ अनाम सिसाडमिन के सिरदर्द के रूप में स्थानीय होती हैं। विवरण ओएसआई मॉडल द्वारा छिपाए जाने के लिए हैं।

लिनक्स सेंट्रिक उत्तर आगे।

उंगलियों के निशान उत्पन्न करने और शैक्षिक अनुमान लगाने के कुछ तरीके हैं।

  1. एक अच्छे पोर्ट स्कैन के साथ nmap -o और nmap। सर्वर हमेशा दोनों एनआईसी के लिए बाध्य नहीं होते हैं। लेकिन बहुत बार वे करते हैं।

  2. मैक पते। यदि आपके पास मैक पते प्राप्त करने का कोई साधन है, तो निर्माता एकीकृत हार्डवेयर के लिए लगातार पते का उपयोग करना पसंद करते हैं। दो लगभग समान मैक पते अधिक समान मदरबोर्ड की संभावना है। यह निश्चित रूप से आफ्टरमार्केट कार्ड पर लागू नहीं होता है।

  3. आदाब अर्ज है। टेलनेट, ftp, smtp और जैसे सभी जानकारी की पहचान प्रदान करते हैं। देखें कि क्या ये सेवाएं चल रही हैं, पर्याप्त जानकारी प्रदान करें। बैनर आज दुर्लभ हैं, लेकिन फिर भी एक शॉट के लायक है।

  4. एनआईसी स्वतंत्र व्यवहार का परीक्षण करें। उदाहरण के लिए, एक दर्जन बार एसएचएस को फर्जी प्रमाणीकरण प्रदान करके मेजबानों को अस्वीकार करने की कोशिश करें। यदि इनकार करने वाले मेजबानों को फंसाया जाता है, तो आपको अगले प्रयास पर तुरंत सॉकेट बंद करना चाहिए। देखें कि क्या यह अन्य आईपी के लिए भी हो रहा है।

ए / 27 नेट है ... क्या, 29 मेजबान? मैं कहूंगा कि उच्च आत्मविश्वास के साथ एक दोहरी होम मशीन की पहचान करने की संभावना सुपर स्लिम है, शायद 5%। लेकिन कुछ ही मेजबानों को देखते हुए, आप एक शिक्षित अनुमान लगाने में सक्षम हो सकते हैं।

एक साक्षात्कार के लिए मजेदार सवाल। मैं इसे वास्तव में चुरा सकता हूं।

ब्रायन
स्रोत
4
# 4 तक, यदि दोनों पते ssh चल रहे हैं और आप इसे कनेक्ट कर सकते हैं, तो आप होस्ट कुंजियों की तुलना कर सकते हैं। सिद्धांत रूप में, दो अलग-अलग सर्वरों को एक ही होस्ट कुंजी दी जा सकती है, लेकिन यह एक बहुत ही अजीब सेटअप होगा। इसलिए यदि आपको दोनों पतों से एक ही मेजबान कुंजी मिलती है, तो वे संभवतः एक ही सर्वर हैं।
नैट एल्ड्रेडज
एक ही मेजबान कुंजी के साथ दो बक्से मशीन क्लोनिंग के परिणामस्वरूप हो सकते हैं।
पीटर ग्रीन
7

सैद्धांतिक रूप से आप ज्यादातर मामलों में एक सार्थक आत्मविश्वास स्तर दे सकते हैं। हालांकि, यह अभ्यास में बहुत कठिन बना देता है।

मैं अन्य जवाबों को ओवरलैप करने जा रहा हूं, और मैंने शायद सामान को याद किया है, लेकिन यह कम से कम एक विस्तृत तर्क है कि क्यों ये विशेष बिट्स मायने रखते हैं या नहीं।

हालांकि, मैक पते के किसी भी विचार को भूल जाओ। जब तक आपके पास नेटवर्क सेगमेंट तक सीधी पहुंच नहीं होगी, आप उन्हें नहीं देख पाएंगे।

पोर्ट स्कैन पर भी भरोसा न करें। यह केवल कुछ IP के लिए फ़ायरवॉल पोर्ट के लिए तुच्छ है, सॉफ़्टवेयर केवल कुछ IP पर सुनते हैं या एक IDS / IPS सिस्टम है जो एक स्कैन का पता लगाने पर फ़िल्टरिंग लागू करता है। ये सभी आपके परीक्षण को प्रभावित करेंगे।

ठीक है, इसलिए आप जिस तरह से बता सकते हैं वह सरल है: दो बक्से बिल्कुल समान होने की संभावना कम है जब तक कि वे किसी भी तरह से संबंधित न हों। इसलिए जो आप वास्तव में कर रहे हैं वह साबित करने की कोशिश कर रहा है कि वे अलग-अलग बक्से हैं, यह साबित करने की कोशिश नहीं कर रहे हैं कि वे समान हैं।

  1. पिंग। आपको एक ही समय में दोनों का परीक्षण करने और बहुत सारे परीक्षण करने की आवश्यकता है। यह पता चला है कि जब नेटवर्क समय में घबराना होता है, तो यह काफी उच्च गुणवत्ता वाला छद्म यादृच्छिक शोर होता है, यदि आपके पास एक छोटे समय में पर्याप्त नमूने हैं, तो शोर का औसत आपको सटीक तुलना देने के लिए पर्याप्त है।

    एक नेटवर्क में प्रत्येक परत 2 हॉप में विलंबता की एक छोटी मात्रा शामिल होती है, विभिन्न भीड़ का स्तर अलग विलंबता मान देगा। यदि दो आईपी काफी भिन्न समवर्ती विलंब दर्शाते हैं तो आप मान सकते हैं कि वे संभवतः एक ही बॉक्स नहीं हैं।

    कैविट 1: दो अपलिंक (बंधुआ नहीं) वाला एक एकल सर्वर और प्रत्येक अपलिंक पर एक अलग आईपी के साथ कॉन्फ़िगर किया गया हो सकता है कि यह बंद करने के लिए पर्याप्त अपलिंक असंतुलन हो।

  2. पोर्ट स्कैन। गंतव्य बंदरगाह तीन राज्यों में से एक में हो सकते हैं: सुनना, बंद करना, फ़िल्टर करना। वे वास्तव में बहुत उपयोग नहीं हैं जैसा कि ऊपर उल्लेख किया गया है, लेकिन अभी भी उपयोगी जानकारी होना बाकी है।

    1. कई IP पर खुलने वाले पोर्ट के बॉक्स सबसे अधिक सभी IP पर एक ही सॉफ्टवेयर के चलने वाले हैं। यह संभव है कि, एक आईपी पर नग्नेक्स और दूसरे पर अपाचे, लेकिन ज्यादातर लोग परेशान न हों। समानताओं की तलाश के लिए चल रही सेवाओं को फ़िंगरप्रिंट करें। सॉफ़्टवेयर और संस्करण के लिए स्वयं के विज्ञापन के रूप में देखें, यह किस विकल्प का समर्थन करता है, होस्टनाम (यदि कोई हो) का विज्ञापन किया जाता है, यदि सॉफ़्टवेयर के व्यवहार में कोई विचित्रताएं हैं, तो इस तरह की चीजें।

      इसके लिए वेब सेवाएं कम से कम उपयोगी हैं, बहुत अधिक उपयोगी हैं एसएमटीपी जैसी चीजें (भेजने में सहायता के कारण मिश्रण और मिलान करना, बहुत सी जानकारी लीक करना), एसएनएमपी (एक सूचना सोने की खान), एसएसएच (जो कई एसएसएच डेमॉन चलाता है)? ) और HTTPS (यदि आप किस्मत से बाहर हैं और वे एक ही सॉफ्टवेयर चला रहे हैं, तो आप SSL कॉन्फ़िगरेशन में अंतर की जांच कर सकते हैं, एक समान लेकिन असामान्य कॉन्फ़िगरेशन एक अच्छा संकेतक है)। NTP एक अच्छा परीक्षण हुआ करता था, लेकिन अब इसे डीओएस एम्पलीफायर के रूप में उपयोग करने के कारण इसे बहुत मुश्किल से बंद किया जा रहा है, SNTP वास्तव में उसी तरह से धूम्रपान बंदूक के लिए पर्याप्त सटीक नहीं है।

    2. लेयर 3 फिंगरप्रिंटिंग। OS को दूरस्थ रूप से फ़िंगरप्रिंट करने का मुख्य तरीका यह TCP / IP कार्यान्वयन में quirks से है। यहां तक ​​जाने के लिए सटीक विवरण बहुत लंबा है, लेकिन अनिवार्य रूप से पैकेट मेटाडेटा बहुत सारी जानकारी लीक करता है, जैसा कि एक बंद या फ़िल्टर किए गए पोर्ट कैसे कनेक्शन के प्रति प्रतिक्रिया करता है और एक मेजबान विकृत पैकेट प्राप्त करते समय कैसे व्यवहार करता है। हालांकि इन विशेषताओं को यह बताने के लिए कोई खास बात नहीं है कि क्या चल रहा है, वे एक विशेष टीसीपी / आईपी स्टैक से बंधे हर आईपी के लिए एक समान होने की गारंटी देते हैं। गौरतलब है कि विभिन्न प्रणालियों में अलग-अलग विशेषताएं होनी चाहिए।

    कैविएट 2: दो बॉक्स जो वास्तव में एक ही ओएस और वेंडर पैच चल रहे हैं, समान दिखने की संभावना है। विंडोज पर, एक ही विंडोज संस्करण की दो प्रतियां ऑटो अपडेट चल रही हैं, जब तक कि उनके पास अलग-अलग फायरवॉल नहीं होंगे। लिनक्स पर अंतर मुख्य रूप से ठीक उसी प्रकार से संबंधित होने की संभावना है जो कर्नेल संस्करण और विकल्पों को शिप किया जाता है। यह परीक्षण केवल उच्च संभावना दे सकता है कि दो आईपी एक ही ओएस पर नहीं हैं।

  3. फिर से खेलना। दोनों आईपी पर खुलने वाले बंदरगाहों की सूची के साथ, प्रत्येक आईपी पर समान कार्य करें और व्यवहार में विसंगतियों की तलाश करें। टाइम आउट, एरर मैसेज, रिट्री लिमिट्स आदि जैसी चीजें। कुछ सॉफ्टवेयर आईपी के आधार पर अलग-अलग होने के लिए कठिन या कम अक्सर कॉन्फ़िगर किए गए हैं। यदि आप जानते हैं कि एक आईपी किसी विशेष डोमेन के लिए मेल स्वीकार कर रहा है, तो देखें कि क्या अन्य आईपी भी उस डोमेन के लिए मेल स्वीकार करता है।

    कैविएट 3: यह परीक्षण 2 के सेवा फिंगरप्रिंटिंग भाग की तुलना में कम गुणवत्ता वाला डेटा है क्योंकि यह सामान अलग-अलग आईपी पर अलग-अलग कॉन्फ़िगर करना आसान है और इसमें सभी प्रकार के पीछे के दृश्य संभव हैं। झूठे परिणामों की उच्च संभावना उन परिणामों में थोड़ा विश्वास पैदा करती है।

इसलिए जैसा कि मैंने कहा, अंतर्निहित सिद्धांत यह है कि विभिन्न होस्ट संभवतः अलग-अलग कॉन्फ़िगरेशन हो सकते हैं और यह जानकारी लीक करता है।

इसका क्या कारण है, यह बताने में बहुत मुश्किल है कि दो आईपी पर चलने वाली एक ही साइट एक ही सर्वर या दो सर्वर रीडायरेन्सी के लिए कॉन्फ़िगर की गई हो। यह सिस्टम व्यवस्थापक के लिए भी जिम्मेदार नहीं है जो अपने सिस्टम को समान रखने के लिए कॉन्फ़िगर प्रबंधन चला रहे हैं। और न ही यह उन मेजबानों के लिए है जो एक ही आईपी पते पर विभिन्न होस्ट पर चल रही कई सेवाओं को डीएनएटी कर रहे हैं।

वर्चुअलाइजेशन तकनीक कुछ अजीब स्पैनरों को काम में लेती है। डॉकटर जैसी कंटेनरीकृत प्रणालियाँ अलग-अलग कंटेनरों को बनाने के लिए ढेर के समान साझा कर रही हैं जो वास्तव में हो सकता है की तुलना में अधिक समान दिखती हैं। एक भौतिक निक के लिए ब्रिज किए गए वर्चुअल नैक्स को शारीरिक रूप से अलग हार्डवेयर से अलग करना असंभव है, लेकिन मुख्य रूप से इस तथ्य से उपजी नहीं है कि पुल सॉफ्टवेयर है और इस प्रकार पैकेट को मेजबान आईपी स्टैक से गुजरना होगा।

दोहराव के लिए परीक्षण करने की कोशिश कर रहे लोगों को भ्रमित करने के कई तरीके हैं। आप जिस चीज की आशा कर सकते हैं, वह एक ऐसा पैटर्न है जिसमें संदेह की मात्रा कम है।

सर्वर चलाने वाले लोगों के लिए यह नैतिक है, कि आप अपने सर्वर को यथासंभव कम जानकारी लीक करने के लिए कॉन्फ़िगर करें:

  1. जहां तक ​​संभव हो बैनर की जानकारी को बंद कर दें। आपके हमले के बारे में जितना कम हो सके उतना कम हमला आपके लिए बेहतर होगा।

  2. सॉफ़्टवेयर को केवल उस IP पर कनेक्शन स्वीकार करें, जिस पर वह सेवा दे रहा हो और केवल तभी आवश्यक हो। यदि इसे बाहरी रूप से सुलभ होने की आवश्यकता नहीं है, तो इसे केवल लोकलहोस्ट से बांधें। हमले की सतह को कम करना हमेशा अच्छा होता है।

  3. अगर आपको पूरी तरह से कुछ सुनना है, और आप दो आईपी के बीच संबंध से बचना चाहते हैं, तो असामान्य विकल्पों को न्यूनतम रखने की कोशिश करें। आप चाहते हैं कि इसमें मिश्रण हो।

  4. डिफ़ॉल्ट ड्रॉप नीति के साथ फ़ायरवॉल चलाएं। मुझे लगता है कि एक आईडीएस सेटअप में मूल्य हो सकता है जो यादृच्छिक प्रतिक्रियाओं के साथ हमलावरों के प्रति प्रतिक्रिया करता है, शोर एक हमलावर के लिए अपने परिणामों पर भरोसा करना कठिन बना देगा, लेकिन इसके परिणामस्वरूप आपको बाहर खड़ा करना पड़ता है।

  5. समय पर हमलों को रोकने के लिए यादृच्छिक विलंब मॉड्यूल बेकार हैं। सच में नहीं। एक यादृच्छिक संख्या चुनें फिर एक डाई को कई बार रोल करें, परिणाम को लिखें और उस संख्या को जो आपने शुरुआत में चुना था। आप जो समाप्त करते हैं वह एक निश्चित ऑफसेट के साथ एक सीमा है। यदि यादृच्छिक संख्या को प्रतिस्थापित किया जाता है तो रेंज चलती है। यदि सीमा बदली जाती है तो ऑफसेट समान रहता है और नई आधार रेखा प्राप्त करने के लिए नमूना प्रक्रिया को दोहराने की बात होती है।

  6. आईपी ​​स्टैक नॉर्मलाइज़र मौजूद हैं, लेकिन पिछली बार जब मैंने देखा तो सुरक्षा अनुसंधान का एक उपेक्षित हिस्सा था। यह एक सुरक्षा विक्रेता के लिए निवेश करने के लिए एक अच्छा बाजार होगा।

Kaithar
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.