Flole hat geschrieben: 05.10.2018, 07:27
Also gehen sie doch nicht mit der lokalen IP an den AFTR, sondern mit einer IPv6 über die man auf die IPv4 schließen kann. Es wird definitiv nicht deine Lokale IPv4 als Quelladresse ohne weiteres im Vodafone Netz als Quelladresse geben.
Du hast die Funktionsweise von DS-Lite noch immer nicht verstanden.
Bei DS-Lite werden sehr wohl deine internen IPv4-Adressen an den AFTR weitergeleitet - dieser macht dann erst das NAT auf IPv4-Ebene. Es kommt jedoch zwischen dem CPE (Router) und dem AFTR ein IPv6-Tunnel zum Einsatz - d.h. deine IPv4-Pakete werden mit dem kompletten IPv4-Header (also insbesondere mit deinen lokalen IPv4-Adressen) innerhalb eines IPv6-Paketes vom Router an das AFTR-Gateway weitergeleitet. Der AFTR entpackt dann die in IPv6 gekapselten IPv4-Pakete und führt darauf NAT durch - und anstatt wie bei "normalem" NAT, bei dem "nur" das Vier-Tupel Source-IP, Source-Port, Destination-IP und Destination-Port entscheidend sind, speichert der AFTR ein Fünf-Tupel aus Source-IPv4, Source-Port, Destination-IPv4, Destination-Port -und- zusätzlich noch der IPv6 des CPE ab.
Der AFTR kann dann -bei Antworten- eben jene IPv4-Pakete "richtig" zurückwandeln, wieder in IPv6 packen und zum CPE schicken - dieses entpackt lediglich die IPv4-Pakete und leitet sie (ohne Änderungen daran vorzunehmen) an die Clients im LAN weiter.
Wenn du schon mit RFCs um dich schmeißt (und diese zunächst falsch beschreibt) dann antworte ich Mal mit RFCs: RFC4941 sagt ganz klar, das spätestens bei jeder Neuverbindung eine neue privacy extension generiert wird, also du wirst vom WLAN getrennt und schon hast du eine neue. Manche Geräte gehen so weit und tauschen die noch häufiger, Ubuntu alle 5 Minuten per Default.
Und auch hier stimmt deine Aussage so nicht. Während der Dauer, in der die mittels PE generierte IPv6 gültig ist, gehen alle Anfragen mit eben jener per PE generierten IPv6 nach außen - darum geht es aber gar nicht.
Denn du meintest ja, dass man dank PE nicht nachvollziehen könne, wie viele Rechner hinter einem Router hängen - und das stimmt so nicht. Denn da die IPv6 -auch mit aktivierten PE- rechnerspezifisch ist (ein 2. Rechner generiert im gleichen Netz zwingenderweise eine andere -auch mit PE erzeugte- IPv6), kann man darüber -während der Gültigkeitsdauer der IPv6- Rückschlüsse auf den Rechner ziehen. Man kann also ohne Weiteres erkennen, ob in dem Netz ein Rechner 10 Verbindungen aufbaut -oder- ob in dem Netz 10 Rechner jeweils eine Verbindung aufbauen - weil man trotz aktivierter PE bei 10 Rechnern am Server 10 verschiedene Host-Adressen zur gleichen Zeit sieht.
Die PE helfen nur dafür, als dass du damit nicht über längere Zeit und nicht anschlußübergreifend getracked werden kannst. Denn ohne PE würde sich der Hostteil selbst bei Neuvergabe eines anderen Präfix am Internetanschluß nicht ändern - insbesondere bei mobilen Geräten wie Notebooks, Tablets und SmartPhones würde das dazu führen, dass man präfixübergreifend (und somit auch anschlußübergreifend) nachvollziehen könnte, wo sich ein Gerät aufgehalten hat. Das klappt mit aktivierten PE so natürlich nicht, weil sich bei jeder Einwahl in ein neues Netz -oder- nach Ablauf der Gültigkeit der mit PE generierten IPv6 der Hostteil der IPv6 ändert.
Dann wird dein OS Fingerprinting noch Lustiger....
Wo schrieb ich, dass man damit OS Fingerprinting betreiben kann? Du kannst damit lediglich herauslesen, ob ein oder mehrere Rechner im Netzwerk hängen.
Unter welchem OS die Rechner laufen, kann man damit (nicht zwingend) bestimmen...
Und wenn jemand den HTTP Useragent ändert geht's auch nicht mehr?
Der HTTP User Agent ändert aber nichts an der Tatsache, dass mit trotz aktivierter PE herausfinden kann, wie viele Rechner gleichzeitig im Netz hängen und Anfragen abfeuern...
