Wie fängt eBlocker automatisch den Netzwerkverkehr ab?

Wie fängt eBlocker automatisch den Netzwerkverkehr ab?

eBlocker (http://www.eblocker.com) ist eine Software, die auf Raspberry Pis und ähnlichen Architekturen (Banana Pi usw.) läuft und das Ziel hat, unerwünschte Web-Tracker und Werbung zu blockieren.

Was mich überrascht hat, ist, dass der Pi lediglich an einen Standard-Ethernet-Port eines Consumer-Routers angeschlossen werden muss (also nicht an einen Überwachungsport oder ähnliches). Danach (innerhalb weniger Minuten) fängt er den gesamten HTTP-Verkehr (nicht HTTPS-Verkehr) auf jedem Gerät im Netzwerk ab, unabhängig davon, ob es kabelgebunden oder drahtlos verbunden ist.

Es war nicht nötig, das Gerät als Gateway einzurichten, weder auf den Client-Geräten noch auf dem Router, noch musste ich irgendwelche Netzwerkänderungen vornehmen – die Konfiguration erfolgte einfach still und automatisch auf allen Geräten, unabhängig davon, ob sie unter Windows, OS X, iOS, Android, Linux oder benutzerdefinierten Mikrocontroller-Netzwerkstapeln liefen.

Ich habe den Hersteller des Geräts kontaktiert, aber verständlicherweise möchte er dies geheim halten.

Ich habe einige Nachforschungen angestellt und vermute, dass UPnP oder ZeroConf eine Rolle spielen könnten, aber ich verstehe zu wenig von diesen Technologien, um eine sichere Einschätzung abgeben zu können.

Meine beiden damit zusammenhängenden Fragen lauten also:

Wie erreicht eBlocker dies? (Ich führe gern alle erforderlichen Untersuchungen durch, um zu einer schlüssigen Antwort zu gelangen.) Es ist besorgniserregend, dass jemand ohne Zugriff auf die Maschinen im Netzwerk (d. h. keine Passwörter, kein Zugriff auf das BIOS usw.), aber nur mit physischem Zugriff auf den Router, ein Gerät installieren könnte, das den gesamten Netzwerkverkehr aufzeichnet. Welche Methoden auf einem Consumer-Router (mit OpenWrt) würden dagegen schützen?

Aktualisieren: Hier sind die Installationsanweisungen für eBlocker, falls das bei der Identifizierung der Methode hilft.

  1. Verbinden Sie den Ethernet-Port des Raspberry Pi / Banana Pi mit Ihrem Internet-Router oder einem freien Ethernet-Port Ihres Switches.
  2. Verbinden Sie das Micro-USB-Kabel mit dem Raspberry Pi / Banana Pi und schließen Sie es an das Netzteil an.
  3. Warten Sie 5 Minuten, bis der Raspberry Pi / Banana Pi vollständig hochgefahren ist und sich konfiguriert hat.
  4. Besuchen Sie eine beliebige Webseite mit HTTP (nicht HTTPS). In der oberen rechten Ecke des Bildschirms wird das eBlocker-Symbol angezeigt. Es zeigt an, dass der eBlocker aktiv ist und Sie geschützt sind. Mit einem Klick auf das Symbol öffnet sich die eBlocker Controlbar und ermöglicht weitere Konfigurationen

Automatische Konfiguration

Sollte die automatische Netzwerkkonfiguration in Ihrer Netzwerkumgebung nicht funktionieren, empfehlen wir Ihnen den eBlocker Netzwerk-Assistenten zur manuellen Konfiguration zu verwenden...

Die automatische Konfiguration funktioniert nur im gleichen Netzwerksegment

Die automatische Konfiguration erkennt nur Netzwerkgeräte im gleichen Netzwerksegment (Beispiel: 192.168.1.X und 192.168.2.X sind nicht im gleichen Netzwerksegment). Wenn Sie zwei verschiedene Netzwerksegmente betreiben und beide vom eBlocker profitieren sollen, konfigurieren Sie den eBlocker bitte manuell als Gateway für den Internetzugang. Im eBlocker stellen Sie als „Gateway“ bitte Ihr ursprüngliches Internet-Gateway ein.

IPv6-Netzwerke und IPv4-Netzwerke ohne DHCP

Heimnetzwerke, die nur das neue IPv6-Protokoll verwenden, werden derzeit nicht unterstützt. In IPv4-Netzwerken ohne DHCP-Server muss der eBlocker manuell als Gateway konfiguriert werden. Verbinden Sie sich dazu bitte mit Ihrem eBlocker über die IP-Adressehttp://169.254.94.109:3000/. Ihr Internet-Client muss sich im selben Netzwerksegment befinden, 169.254.94.0/24.

Antwort1

Ich würde vermuten, dass es verwendetARP-Cache-Vergiftungalle an das Standard-Gateway gesendeten Pakete an sich selbst umzuleiten. Als Man-in-the-Middle-System könnte es den HTTP-Verkehr prüfen und weiterleiten oder löschen. Es könnte auch HTML-Objekte in die HTTP-Konversation (aber nicht in die HTTPS-Konversation) zwischen LAN-Hosts und Internet-Websites einfügen.

Antwort2

Zuerst sucht der Eblocker nach den MAC-Adressen aller aktiven IP-Stationen im Subnetz. Dann sendet er mehrere ARP-Antwort-Frames an jede Station und teilt ihr mit, dass die MAC-Adresse des Standard-Gateways die MAC-Adresse des Eblockers ist.

Dadurch wird der ARP-Cache in allen Subnetzknoten geändert.

Tools wie Wireshark senden Warnungen: doppelte IP-Adresse auf verschiedenen MAC-Adressen erkannt

verwandte Informationen