Administrace komentářů

Uz z principu toto samozrejme mozne neni. Projdeme to pekne od spodu po vrstvach sitove komunikace. Predpokladejme, ze na ten smerovac prijde nejaky paket. Co se deje na jednotlivych vrstvach?

L1 - Fyzicka - Tedy nic nemuzu. Tady se mi jen posilaji logicke informace po mediu (napr. kabelu). Tato vrstva neinterpretuje zadnym zpusobem data. Pouze je predava dale.

L2 - Linkova - Zde se jiz adresuje. Takzvanymy MAC adresamy. Tyto adresy jsou ale platne pouze na jedne lince. Coz je typicky nejaky kabel. Takze pokud nejsou vychozi i cilovy stroj na jedne lince (jeden kabel, jedna wifi sit) tak tyto adresy pouzit nemuzete (a vy jste na internetu a to samozrejme neni jeden kabel obecne)

L3 - Sitova - Tady adresujeme IP adresami (pokud se jedna o sit na bazi IP). Vy mate pouze jedinou IP adresu, takze ani na tomto miste nemuzete jednotlive pakety "zaskatulkovat"

L4 - Transportni - Tady je moznost rozlisit pakety podle cisla portu. To je obecne prijatelna moznost, ale byla vyloucena.

V tuto chvili tedy neni moznost, jak pakety rozlisit. Dale nasleduje uz pouze aplikacni vrstva, tedy cilova stanice onoho paketu. Ted chcete aby system nejak poznal, ze to ma podstrcit jinym aplikacim (nehlede na to, ze jsou na jinych strojich, to neni relevantni). Ted je jiz na to pozde. Pokud se podivate nazpet v rozpise, jedine dve moznosti (prijatelne na internetu obedce) jsou IP adresa nebo cislo portu.

Jeste bych chtel uvest na pravou miru jednu dezinterpretaci ktere myslim jste se dopustil. DNS preklada domenova jmena na IP adresy (zejmena). To co jste predpokladal vy bylo, ze prelozim DOMENA -> IP. Tedy nekolik domen na jednu IP adresu. Pak po routeru ale chcete, aby zobrazil IP -> DOMENA kde IP je jedna, ale DOMENA ty jsou tri. Z matematickeho hlediska tento zpetny preklad neni funkce a nelze tedy provest. (to plyne z toho, ze prvni preklad DOMENA -> IP neni prosta funkce, rozmyslete si to, je to zajimava skutecnost ktera prida na celkovem prehledu)

HTTP umi vami pozadovanou vec proto, ze v samotnem obsahu "PAYLOAD" obsahuje dalsi skatulkovani (HTTP hlavicku nesouci jmeno serveru). Ta nutne neni zadnou validni domenou. Muze to byt i libovolny jiny retezec. Pak pouze staci, aby byl paket spravne dorucen a vas server vam odpovi napriklad na dotaz na google.com nebo cokoliv jineho. Pokud tedy najdete dalsi protokol se stejnou schopnosti (nebo ji podobnou v kontextu onoho protokolu), muzete podobnou vec aplikovat. V opacnem pripade mate smulu.

Dalsi moznost je pouzit nejake na miru usite reseni, ktere routeru oznami informaci stylu "ted budou prichazet data pro pocitac A". To lze realizovat napriklad port-knockingem, ruznymy ICMP, IGMP zpravami a podobne. Spolehlivost je ale pochybna (ICMP, IGMP funguje nespojovane, nespolehlive, takze paket rikajici komu maji data dojit muze dorazit az po samotnych datech. co s nimi v mezicase udela ale router a jak to vubec pozna ze nekdy takovou zpravu vubec obdrzi? hint: nepozna ) K mizerne spolehlivosti pripojme jeste nulovou prenositelnost (nula je tu doslova, kdo podobny "trik" nezna, nemuze na to zareagovat). Jeste si dovolim poznamenat, ze tato technika lze pouzit pro vytvoreni temer nepostrehnutelnych backdoors (tady je to naopak nedocenitelny pomocnik).