Como o eBlocker intercepta automaticamente o tráfego de rede?

2

eBlocker ( http://www.eblocker.com ) é um software que roda em Raspberry Pis e arquiteturas similares (Banana Pi, etc.) com o objetivo de bloquear rastreadores e propagandas indesejados.

O que me surpreendeu é que o Pi só precisa ser conectado a uma porta Ethernet padrão em um roteador consumidor (não uma porta de monitoramento ou similar) após o qual (dentro de alguns minutos) ele interceptará todo o tráfego HTTP (não HTTPS) em qualquer dispositivo na rede, seja conectado com fio ou sem fio.

Não havia necessidade de configurar o dispositivo como um gateway nos dispositivos do cliente nem no roteador, nem precisei fazer nenhuma alteração na rede - ele apenas se configurou silenciosa e automaticamente em todos os dispositivos, estejam eles executando o Windows, o SO X, iOS, Android, Linux ou pilhas de rede de microcontroladores personalizados.

Eu entrei em contato com o fabricante do dispositivo, mas, compreensivelmente, eles desejam manter esse segredo.

Eu tentei alguma pesquisa e suspeito que UPnP ou ZeroConf podem estar envolvidos, mas eu entendo muito pouco sobre essas tecnologias para fazer uma avaliação firme.

Então minhas duas perguntas relacionadas são:

Como o eBlocker consegue isso? (Fico feliz em realizar qualquer investigação necessária para chegar a uma resposta conclusiva.) É preocupante que alguém sem acesso às máquinas na rede (ou seja, sem senhas, sem acesso ao BIOS, etc.), mas com acesso apenas físico ao roteador, possa instalar um dispositivo que capture todo o tráfego da rede. Quais métodos em um roteador consumidor (executando o OpenWrt) se defenderiam disso?

Atualizar : aqui estão as instruções de instalação do eBlocker, caso isso ajude a identificar o método.

  1. Conecte a porta Ethernet do Raspberry Pi / Banana Pi ao seu roteador de Internet ou a um   Porta Ethernet do seu switch.
  2. Conecte o cabo micro-USB ao Raspberry Pi / Banana Pi e conecte-o ao adaptador de energia.
  3. Aguarde 5 minutos até que o Raspberry Pi / Banana Pi termine a inicialização e tenha se configurado.
  4. Visite um site aleatório com HTTP (não HTTPS). O ícone do eBlocker será mostrado no canto superior direito   canto da tela. Isso mostra que o eBlocker está ativo e que você está protegido. Com um clique em   o ícone, a barra de controle do eBlocker será aberta e permitirá configuração adicional

Configuração automática

Se a configuração de rede automática não funcionar em seu ambiente de rede, recomendamos o uso do Assistente de rede do eBlocker para configuração manual ...

Configuração automática só funciona no mesmo segmento de rede

A configuração automática só reconhece dispositivos de rede no mesmo segmento de rede (por exemplo: 192.168.1.X e 192.168.2.X não estão no mesmo segmento de rede). Quando você opera dois segmentos de rede diferentes e ambos devem se beneficiar do eBlocker, configure o eBlocker manualmente como o gateway para o acesso à Internet. No eBlocker, por favor, defina o seu gateway de Internet original como "gateway".

Redes IPv6 e IPv4 sem DHCP

As redes domésticas que usam o novo protocolo IPv6 ainda não são suportadas. Em redes IPv4 sem servidor DHCP, o eBlocker precisa ser configurado manualmente como um gateway. Para fazer isso, conecte-se ao seu eBlocker usando o endereço IP http://169.254.94.109:3000/ . Seu cliente de internet deve estar no mesmo segmento de rede, 169.254.94.0/24.

networking router security home-networking traffic Matt Duffin
fonte
1
Você pode postar a tabela de roteamento do Pi? Além disso, você pode verificar a presença de variáveis ​​globais com o termo proxy neles, assim, env | grep -i proxy. Por último, você deve verificar se este comando: wget -q -O - checkip.dyndns.org \ | sed -e 's/.*Current IP Address: //' -e 's/<.*$//' retorna seu endereço IP normal ou outra coisa.
MariusMatutiae
A tecnologia "mágica" é uma tecnologia não confiável. Se eles não explicarem como funciona em termos de padrões e técnicas, então não é seguro usar. Por favor, forneça um link para o produto em questão. Estou vendo um site github para um projeto russo chamado eblocker, mas do pouco que estou vendo na fonte, ele não fará o que você sugere (parece ser um servidor de bate-papo com plug-ins de navegador para clientes).
Frank Thomas
MariusMatutiae - O Pi que executa o software do eBlocker não é um sistema operacional Raspbian padrão, até onde eu sei, e não oferece uma interface do usuário. Eu vou ver se posso SSH para ele. Nesse meio tempo, valeria a pena executar esses comandos no próprio roteador ou em um dos dispositivos conectados afetados pelo eBlocker?
Matt Duffin
Frank - Coloquei o endereço no post original, mas ele não se transformou em um link clicável; esperançosamente este vai - eblocker.com
Matt Duffin
Produto interessante. Ou óleo de cobra, ou funciona seqüestrando funções de rede de baixo nível. Ambos são muito, muito ruins e não confiáveis.
qasdfdsaq

Respostas:

2

Eu diria que ele usa Envenenamento de cache ARP para redirecionar todos os pacotes enviados para o gateway padrão para si mesmo. Como um homem no meio, seria capaz de inspecionar o tráfego http e encaminhar ou soltá-lo. Ele também pode inserir objetos html na conversa http (mas não https) entre os hosts lan e os sites da internet.

SiriusBlack
fonte
Embora o fabricante não revele nenhuma informação técnica sobre como funciona (que vergonha para eles), este também é meu palpite.
Marcel
0

O primeiro eblocker procura por MAC-Adresses de todas as estações IP ativas na sub-rede. Em seguida, ele envia vários quadros de resposta a ARP para cada estação, informando o endereço MAC do gateway padrão no mac adr do eblocker.

Isso alterará o cache de arp em todos os nós de sub-rede.

Ferramentas como wireshark enviam avisos: endereço IP duplicado detectado em diferentes endereços MAC

ClemensG
fonte