10Gbit Ethernet

Veoma interesantno, hvala na informaciji. Baš sad gledam malo o tome kod linusa na yt.

 

Mislim da mogu vidjeti npr YouTube.com da si otvorio ali ne i da si search ljubu aličića... Https mislim to kriptuje

Sent from my Huawei P10 Plus

 

Yep, HTTPS request na youtube.com ali sadrzaj requesta ne vide.

Sent from my Redmi Note 3 using Tapatalk

 

Vidi se svaki URL, osim onog dijela iza tarabe. I ne vide se URL parametri (dio iza upitnika) ako je u pitanju HTTPS.

 

Vide se vecinom IP adrese, a cesto i domene ili dijelovi domena. Ako detaljno zele nekog pratiti, onda ga redirektuju na interno podignuti proxy i keširaju. Na proxy-ju se naravno mogu vidjeti čak i fajlovi koji se skidaju, detaljni URL-ovi itd. Ja sam s dvojicom komšija dijelio net. na mikrotik routeru je moguce podignuti PPPoE server i povezati ga sa internim mikrotik radius serverom (ili se jednostavno kreiraju korisnici direktno na pppoe serveru, ako je manji broj korisnika), tako da svaki korisnik ima svoj username, lozinku i pristup određenom dijelu radius servera kako bi gledao potrosnju, promjenio lozinku i sl naravno, kroz radius se podesi maximalni bandwidth, zagarantovani bandwith itd.

 

Ne vidi se ni URL zapravo ako je u pitanju HTTPS. Ali se moze skontati preko IP adrese ako rade monitoring DNS requesta.

 

Raja, vjerujte da nije toliko interesantno da se radi bas takav monitoring. Prvo, svega par ljudi ima takav pristup da bi mogli pregledati pakete, ja npr nemam

Na kraju krajeva kad sam spomenuo monitoring mi obicno smatramo pracenje modema u smislu da li ima kakvih gresaka, gubitka paketa ili eventualno povecanu potrosnju sa tog modema.

Tako, opustite se

Sent from my Redmi Note 4 using Tapatalk

 

To sam i rekao, to je moguce, ali ne nuzno i izvodivo, barem ne u smislu monitoringa sirih narodnih masa.

Puno vise te nadgledaju obavjestajne sluzbe nego provajderi. Nas je FBI jednom kontrolisao zbog nekih skakljivih kljucnih rijeci na jednom forumu (igra je bila u pitanju), dosta se tu pratilo i ko posjecuje forum itd.

Provajdera boli briga sta ti radis u tom detaljnom smislu, njega zanima ovo sto je hamo pipa naveo.

 

Pa providera ne zanima, jer imaju hiljade korisnika i detaljno pracenje nekog korisnika zahtjeva dodatne ljudske resurse. Neko treba sjediti i listati logove. Naravno, provider ima zakonsku obavezu nadleznim tijelima dati određene podatke, tipa koju IP adresu je imao koji korisnik u nekom trenutku i sl. i ti podaci se loguju.

 

Vidi se URL, samo dio iza upitnika bude enkriptovan ako je u pitanju HTTPS. URL se rezolvira na DNS serveru, bez enkripcije.

 

I tako ja dobio ponudu da platim 35 eura za 10G switch i NIC, onda sam postao lokalni internet provajder i spijunirao sta to moje komsije gledaju na internetu

 

I to sve za 35 EUR

 

Ne vidi se sigurno. Pa cijela poruka je enkriptovana i salje se na IP koju tvoj browser resolve-a preko DNS-a. Kako rekoh, mogu vidjeti DNS requeste, ali get, post itd kroz https nista.

Sent from my 6045K using Tapatalk

 

Mislim da ne resolva DNS tvoj browser. Mislim da se na DNS serveru resolva, sto bi znacilo da oni vide URL (tj. IP) sa kojim komuniciras.

Kod VPN-a se ne vidi URL, tj vidi se samo IP adresa VPN servera i nista vise.

 

Heroic, izvini ali ti bas sad lupas Kakav dns server da resolve-a url? Browser ili bilo koji drugi klijent šalje dns resolve request, mora imati IP jer url ne znaci nista ispod aplikacionog nivoa. Samim time se url i ne vidi kod https jer je u paketu koji je enkriptovan kad se salje get post itd. Moze se vidjeti hostname i port kod connect requesta mozda, ali nije on enkriptovan. Btw. Sto imas dns cache u browseru ili lokalno na racunaru?

Sent from my 6045K using Tapatalk

 

https://en.wikipedia.org/wiki/Server_Name_Indication

 

Moguce, nisam nikad u mrezama bio dobar

Bezveze i diskutujem kad ne znam, meni je samo to bilo nekako logicno.

 

Bravo, to sam i ja rekao gore vezano za connect request. Ali get post i ostali requesti u kojim se koristi url o kome pričamo enkriptuju cijeli url. Connect nema veze sa url-om. A SNI koji linkas je ekstenzija tls protokola i ne podržava je svaki server, npr IIS tek od v2016 ako se ne varam. Na starijim serverima uopste nisi mogao koristiti SNI da serviras vise certifikata na jednoj ip adresi i portu. Imali smo bas problem prosle godine sa starim IIS-om bas zbog SNI podrske jer smo stavili dva certifikata da napravimo https dva sajta a oba moraju slusati na istoj IP i portu 443. Upgrade na novi server je pomogao. Pise ti i na linku, samo ako i klijent i server podrzavaju SNI. Ali i bez SNI u tls connect se moze vidjeti hostname, kao i preko dns resolve requesta, ali to i dalje nema veze sa URL-om, to je poziv za konekciju ili resolve hosta, a getova i postova imas milion a ISP ne zna gdje idu. Zna da si se konektovao na youtube ili fb i slicno, ali koji paket ide gdje i kad otvoris novi URL na fb ne zna ako je tls konekcija aktivna, tesko bez monitoringa preko IP. Odosmo previše u detalje na temi koja nije vezana za to

Sent from my 6045K using Tapatalk