Zeroconf и системное исследование в беспроводных сетях
Я задал этот вопрос на, Спрашивает Ubuntu относительно моей системы, обнаруживающейся по умолчанию в сетях. В ответе, который я принял, говорится, что, пока я не использую avahi и samba компоненты, я не обнаружусь везде, где компьютеры в сети отображены. Единственное возможное исключение быть zeroconf в отсутствие сервера DHCP.
Мой вопрос, почему делает zeroconf сделать мой компьютер уязвимым для исследования через сети? Действительно ли это применимо к беспроводным сетям?
Я высказал приблизительное предположение о zeroconf, использование ответа на Спрашивает Ubuntu как основание, что блок адреса, используемый для самоконфигурации, является тем же через все системы - так в отсутствие сервера DHCP, ища системы в сети с помощью zeroconf блок адреса как ссылка помог бы найти компьютеры в сети.
Наконец, я хотел бы выполнить итерации этого, я уже знаю, что независимо от того, что я, я все еще открыт для сниффинга, не потрудитесь посылать сообщение-розыгрыш с ним.
2 ответа
Zeroconf объявляет сети "эй, я здесь, и я имею эти сервисы в наличии для Вас!" По умолчанию об этом объявляют локальной сети как широковещательная передача, так, чтобы каждый компьютер в локальной сети видел его.
Это может быть невероятно полезно, позволив Вам настроить домашнюю сеть без любого администрирования центральных серверов, поскольку ресурсы просто появляются, когда они соединены; например, принтеры внезапно появляются в Ваш список возможных мест назначения для задания печати.
Если Вы находитесь в сети, Вы не доверяете, Вы не могли бы хотеть, чтобы Ваш компьютер танцевал вверх и вниз в сети, говоря, "смотрят на меня, смотрят на все вещи, у меня есть выполнение!" так как это объявляет поверхность атаки — вещи, которые могли бы иметь проблемы безопасности.
Если Ваша система является иначе отлично безопасностью, нет никакой проблемы, объявляющей, что Вы имеете. Но совершенно защищенная система является фантазией. Таким образом, существует компромисс, который будет иметься, между удобством и тайной, попытается сделать его немного тяжелее.
На практике взломщик может узнать то, что Вы выполняете так или иначе. Но их зондирование Вашей системы могло бы выделить Систему обнаружения проникновения в сети. (Если Ваше кафе имеет IDS, то ищите летающих свиней снаружи и переключитесь на другой вид кафе.)
Таким образом, как кто-то злонамеренный, это намного легче и более безопасно ожидать чьего-то компьютера для объявления "эй, я здесь, и у меня есть музыкальная доля для Вас, и устройство хранения данных совместно используемого файла и сервис входа в систему, и...".
mDNS и DNS-SD объявляют о присутствии сервисов через всю сеть, с которой подключена машина. Если Вы не доверяете текущей сети затем, можно хотеть заблокировать ее исходящие пакеты.