From 609c25ded8f8c802165047d3413093dcfa5d856e Mon Sep 17 00:00:00 2001 From: bol-van Date: Wed, 7 Apr 2021 13:13:42 +0300 Subject: [PATCH] readme: nfqws synack : more precise nat info --- docs/readme.eng.txt | 2 +- docs/readme.txt | 3 ++- 2 files changed, 3 insertions(+), 2 deletions(-) diff --git a/docs/readme.eng.txt b/docs/readme.eng.txt index f5d9eeb..ffbf816 100644 --- a/docs/readme.eng.txt +++ b/docs/readme.eng.txt @@ -254,7 +254,7 @@ Can be useful for ISPs with more than one DPI. SYNACK MODE In geneva docs it's called "TCP turnaround". Attempt to make the DPI believe the roles of client and server are reversed. -!!! This mode breaks NAT operation and can be used only from devices with external IP address ! +!!! This mode breaks NAT operation and can be used only if there's no NAT between the attacker's device and the DPI ! In linux it's required to remove standard firewall rule dropping INVALID packets in the OUTPUT chain, for example : -A OUTPUT -m state --state INVALID -j DROP In openwrt it's possible to disable the rule for both FORWARD and OUTPUT chains in /etc/config/firewall : diff --git a/docs/readme.txt b/docs/readme.txt index 7666b56..65efd14 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -313,7 +313,8 @@ mark нужен, чтобы сгенерированный поддельный РЕЖИМ SYNACK В документации по geneva это называется "TCB turnaround". Попытка ввести DPI в заблуждение относительно ролей клиента и сервера. -!!! Поскольку режим нарушает работу NAT, техника может сработать только с устройства с внешним IP адресом. +!!! Поскольку режим нарушает работу NAT, техника может сработать только если между атакующим устройством +и DPI нет NAT. Атака не сработает через NAT роутер, но может сработать с него. Для реализации атаки в linux обязательно требуется отключить стандартное правило firewall, дропающее инвалидные пакеты в цепочке OUTPUT. Например : -A OUTPUT -m state --state INVALID -j DROP В openwrt можно отключить drop INVALID в OUTPUT и FORWARD через опцию в /etc/config/firewall :