Как eBlocker автоматически перехватывает сетевой трафик?

eBlocker ( http://www.eblocker.com/) - это программное обеспечение, которое работает на Raspberry Pis и аналогичных архитектурах (Banana Pi и т. д.) с целью блокировки нежелательных веб-трекеров и рекламы.

Что меня удивило, так это то, что Pi нужно подключать только к стандартному порту Ethernet на потребительском маршрутизаторе (т.е. не к порту мониторинга или подобному), после чего (в течение нескольких минут) он будет перехватывать весь трафик HTTP (не HTTPS) на любом устройстве. в сети, подключен ли проводной или беспроводной.

Не было необходимости устанавливать устройство в качестве шлюза ни на клиентских устройствах, ни на маршрутизаторе, и при этом мне вообще не нужно было вносить какие-либо изменения в сеть - оно просто само настраивалось автоматически и автоматически на всех устройствах, независимо от того, работают ли они под управлением Windows, ОС. X, iOS, Android, Linux или пользовательские стеки микроконтроллеров.

Я связался с производителем устройства, но по понятным причинам они хотят сохранить этот секрет.

Я попытался провести какое-то исследование и подозреваю, что в этом могут быть задействованы UPnP или ZeroConf, но я слишком мало понимаю об этих технологиях, чтобы дать точную оценку.

Итак, мои два связанных вопроса:

Как eBlocker достигает этого? (Я рад провести любое расследование, необходимое для получения окончательного ответа.) Это касается того, что кто-то не имеет доступа к машинам в сети (т. Е. Не имеет паролей, не имеет доступа к BIOS и т. Д.), Но только с физическим доступом. доступ к маршрутизатору может установить устройство, которое будет захватывать весь сетевой трафик. Какие методы на потребительском маршрутизаторе (работающем OpenWrt) защитят от этого?

Обновление: здесь приведены инструкции по установке eBlocker, в случае, если это помогает определить метод.

  1. Подключите порт Ethernet Raspberry Pi / Banana Pi к вашему интернет-маршрутизатору или к свободному порту Ethernet вашего коммутатора.
  2. Подключите кабель micro-USB к Raspberry Pi / Banana Pi и подключите его к адаптеру питания.
  3. Подождите 5 минут, пока Raspberry Pi / Banana Pi не загрузится и не настроится.
  4. Посетите случайный веб-сайт с HTTP (не HTTPS). Значок eBlocker будет показан в верхнем правом углу экрана. Это показывает, что eBlocker активен и что вы защищены. Если щелкнуть значок, откроется панель управления eBlocker, что позволит продолжить настройку.

Автоматическая настройка

Если автоматическая конфигурация сети не работает в вашей сетевой среде, мы рекомендуем использовать eBlocker Network-Wizard для ручной настройки...

Автоматическая настройка работает только в том же сегменте сети

Автоматическая конфигурация распознает только сетевые устройства в одном и том же сегменте сети (например, 192.168.1.X и 192.168.2.X не находятся в одном сегменте сети). Если вы используете два разных сегмента сети, и оба будут использовать eBlocker, пожалуйста, настройте eBlocker вручную в качестве шлюза для доступа в Интернет. В eBlocker, пожалуйста, установите ваш оригинальный интернет-шлюз как "шлюз".

Сети IPv6 и сети IPv4 без DHCP

Домашние сети, использующие только новый протокол IPv6, пока не поддерживаются. В сетях IPv4 без DHCP-сервера eBlocker необходимо настроить вручную в качестве шлюза. Для этого, пожалуйста, подключитесь к вашему eBlocker, используя IP-адрес http://169.254.94.109:3000/. Ваш интернет-клиент должен быть в том же сегменте сети, 169.254.94.0/24.

2 ответа

Я предполагаю, что он использует отравление ARP-кеша для перенаправления всех пакетов, отправляемых на шлюз по умолчанию, к себе. Как человек посередине, он сможет проверять http-трафик и пересылать или отбрасывать его. Он также может вставлять html-объекты в диалог http (но не https) между локальными компьютерами и интернет-сайтами.

Первый eblocker ищет MAC-адреса всех активных IP-станций в подсети. затем он отправляет несколько кадров ARP-ответа каждой станции, сообщая MAC-адрес шлюза по умолчанию, который является MAC-адресом eblocker.

Это изменит arp-кеш во всех узлах подсети.

Такие инструменты, как wireshark, отправляют предупреждения: на разных MAC-адресах обнаружен дублированный IP-адрес

Другие вопросы по тегам