[HaBo]

**Elderan** · 07.06.04, 18:29

Hallo,
ne kurze Frage, möchte auch nicht wissen wie das geht, sondern nur wie schwer es ist, bzw. evt. etwas Theorie

Also wenn die Person A von der Person B die IP klauen möchte, und sich mit der IP von Person B im Internet (auf der Homepage) ausgeben möchte, wie schwer ist das? Also Person B ist Offline, und Person A kennt die IP von Person B.
Person A möchte einfach nur das in den Logfiles des Servers die IP von Person B steht, mehr nicht, keine Verbindung klauen oder ähnliches.

Reicht dafür einfach ein kleines Programm, wo man nur auf: IP-Change klicken muss (was ich nicht glaube) oder ist es viel schwerer so ne IP zu klauen/sich damit auszugeben?

Hintergrund:
Im Forum meint jemand, er habe den Beitrag nicht geschrieben ob wohl es seine IP (genau seine) ist. Er meinte es wäre sehr leicht die IP zu klauen, was ich nicht glaube (das mit sehr leicht), deswegen frage ich euch mal.

gmw · 07.06.04, 19:08

Soweit ich weiß kann man keine falsche IP verwenden, weil diese zwingend benötigt wird damit Content aus dem Web zu dir kommt, es kann aber sein dass betreffende Person in deinem Forum über einen Proxy suft, und ein andrer, der das geschrieben hat über den selben, was die gleiche IP erklären würde, da man mit Proxy Servern unter Umständen die eigene IP verstecken kann...

Was jedoch geht ist mit einer fremden IP Telneten oder IRC chatten, dazu benötigt man ein sogenanntes "WinGate".

Wingate ist ein Software-Routing Programm, das in frühereren Verisonen mit extremen Sicherheitslücken daherkam - mit Kenntnis der entsprechenden Befehle konnt eigentlich jeder das ungeschützte Wingate auf einem Fremden PC als Proxy benutzen - und damit eine fremde IP-Adresse vortäuschen. Derartige Wingates gibt es aber inwzischen kaum noch und soweit ich weiß ist es auch nicht möglich, mit diesen im www zu operieren...

Sollte jedoch irgendwer noch irgendwie eine Möglichkeit kennen, eine IP vorzutäuschen möge er das bitte posten, ich muss einer Website weis machen, ich käme aus Neuseeland oder der Sovietunion^^

Anzeige

- Anzeige -

Sven · 07.06.04, 19:09

man kann sich ips auch kaufen kaufen

du kannst eine Fremde IP nur benutzen, fürs inet, wenn die person auch online ist.
oder
Person B ist online, und hat einen Trojaner, den Person A steuert, das müsste aber Person B auffallen

mfg
Sven

**Elderan** · 07.06.04, 19:12

Hallo,
ich hab mal nachgefragt und der User benutzt keinen Proxy (soviel versteh ich auch noch vom IP Spoofen

)

Das mit Trojaner könnte auch eine möglichkeit sein, glaube ich aber eher nicht.

gmw · 07.06.04, 19:15

Der Link geht nicht...

Ja ok, das mit dem Trojaner ginge auch... Aber es muss tatsächlich noch eine andere Möglichkeit geben, da dies Teil von gleich zwei Online Security Challenges ist ( http://www.cyberarmy.com und http://www.arcanum.co.nz )....

Diese Seiten sollen einem vermitteln, wie man gewisse Sicherheitslücken ausnützt, man könnte sie auch als HackIts bezeichnen, jedoch ist es ganz gewiss nicht Teil dieser Aufgaben rechtlich illegale Dinge zu tun, es muss also auch einen legalen, kostenlosen Weg geben, eine Falsche Identität im Netz vorzutäuschen, OHNE einen Proxy zu verwenden... Fragt sich nur, welcher

D.Mon · 22.06.04, 15:14

hallo zusammen,

das Spoofen einer IP Adresse ist grundsätzlich erstmal ausgesprochen banal.
Nur gibts da zwei Probleme.

Man wird zwar Pakete mit fremden IP Adressen abschicken können, nur: die Antwort wird an den fremden Rechner geschickt werden und dort mit sehr großer Wahrscheinlichkeit verworfen werden. Eine Kommunikation ist so nicht möglich.

Bei TCP ergibt sich ein weiteres Problem.
Da TCP ein verbindungsorientiertes Protokoll ist, wird man mit einer fremden IP Adresse noch nicht einmal eine Verbindung aufbauen können, da man den Handshake nicht durchführen kann.

Eine gewisse Ausnahme gilt bei der Ausnutzung der Eigenarten des ftp Protokolls.
Man kann mit Tricks ftp Server dazu benutzen, "Portscans" mit deren IP Adresse durchzuführen.

btw:
Das mit dem Proxy ist IMHO kein IP Spoofing im eigentlichen Sinn sondern lediglich ein Verbergen der eigenen Identität (sprich: IP Adresse).

Carpe_diuM · 17.11.04, 22:06

Zur Bemerkung:
Sollte jedoch irgendwer noch irgendwie eine Möglichkeit kennen, eine IP vorzutäuschen möge er das bitte posten, ich muss einer Website weis machen, ich käme aus Neuseeland oder der Sovietunion^^

Aus eurem Gespräch hörte ich raus, dass ihr wisst wie man einen proxy dazwischenschaltet. Wenn du als Bürger der Sovietunion surfen willst, such dir eine proxylist mit einem russischen Proxy, wenn nicht in europa vorhanden, dann geh auf yandex.ru oder port.ru und benutz diese suchrobotter um einen russischen proxy zu finden.....

Zum Thema IP von Person B: Kommt es dir drauf an deine IP durch B zu verbergen oder B etwas anzuhängen, das verbergen ist nicht illegal, das anhängen schon. Außerdem wird B (wenn es ein privater Rechner ist) doch durch einen trace durchscanbar sein, im gegensatz zu einem stabilerem proxy, oder?

AaFreak · 17.11.04, 22:40

jo mit wingates geht des sicherlich. und es gibt schon noch genügend...
oke nicht weitgehend so viele wie früher. aber da gibts schon möglichkeiten die zu finden..

ich benütz die aber net wirklich um meine ip zu verbergen..

4future · 19.11.04, 07:32

Zur Theorie: man klaut von niemandem die IP sondern sendet nur gerfälschte Pakete mit der falschen Absenderadresse, und wenn's noch eine nummer extremer wird sendet man noch arp's, icmp's und snmp's aus um die router auf einen selbst umzubiegen...

ShirKhan76 · 19.11.04, 09:30

wieso gehen wir nicht einmal ein Stufe tiefer im Protokol und probieren es über die MAC Adresse? Wäre das ganze nicht über ARP Poising gegenüber dem Server zu machen, also ich sende dem Server modifizierte ARP Päckchen und sage ihm dass die IP 1.2.3.4 die MAC von meiner Karte jetzt hat. Das ARP Protokol ist ziehmlich alt und hat sehr wenig Sicherheit zu bieten. Wenn ich es schaff dass der Server meine MAC Adress zu der IP der Person 5 in seiner ARP Tabelle einträgt, müsste die Kommunikation stehen und der Server sieht die IP der Person B.

OK soweit so gut, so wie ich es verstanden habe, hat jemand etwas gepostet und der jenige zu dem die IP passt, sagt er wars net! Schenken wir ihm mal glauben, was könnte passiert sein? Der Bösewicht muss sich ja nicht nur die IP geklaut haben sondern auch den Account, oder? Also hat sich unser Mann auf den Server gehäckt und dort den Account gestohlen und die Logs modifiziert oder er hat sich zwischen Client und Server gestellt als Man-in-dä-Middle und das macht man über die MAC Schiene, klaut sich so die Accountdaten vom Client, in dem er die Sitzung mitschneidet, wartet brav bis unser Client sein Geschäft verrichtet hat und schlägt dann bitter böse zu!

Ein interessanter Bericht dazu stand in Linux Magazin Security Edition, allerdings habe ich das bisher nur mit Clients im gleichen Netzwerksegment probiert, ich kann nicht mit Gewissheit sagen ob das über andere Segmente auch geht! ?(

best greetz

ShirKhan76

DelumaX · 19.11.04, 10:21

@ShirKhan76: Das funktioniert nur im eigenen Subnetz

ShirKhan76 · 19.11.04, 12:13

@ DelumaX

jo habs gelesen im anderen Thema! Aber ich meine es reicht wenn einer der beiden - also Client oder Server im gleichen Subnetz sich befindet wie der MITA! Als Gegenstelle wird dann das Gateway verwendet. So müsste es auch gehen...

Best greetz

ShirKhan76

DelumaX · 19.11.04, 13:44

Vieleicht stehe ich gerade auf dem Schlauch, aber kannst du mir mal MITA definieren?

Btw: Wenn der Angreifer im selben Netzwerk sitzt könnte er auf diese Art und Weise die Acountdaten in seinen besitz gebracht haben. Da er dann auch das selbe Gateway benutzt würden natürlich auch die IP-Adresse in den Logfiles passen. Aber es geht imho darum das ein einzelner Homeuser, also ohne andere Clients, behauptet er hätte die Posts nicht abgesetzt. In diesem Fall fällt ARP-Spoofing hinten rüber da sich der Angreifer nicht in seinem Subnetz befunden haben kann. Und wenn er die Accountdaten anderweitig erschlichen hat, ist es immer noch unmöglich das er von ausserhalb die IP-Adresse des Opfers nutzt. Es sei den natürlich er hat den Rechner des Opfers zum Proxy umkonfiguriert oder hat ihn anderweitig unter Kontrolle.

Wenn es dann um echtes IP-Spoofing gehen würde, so wäre das ganze alles andere als trivial. Es müsste zum einem der Rechner des Opfers ausser Gefecht gesetzt werden und zum anderen müsste der Angreifer blind auf die Antworten des Servers reagieren.. Und auf diese Weise einen vollständigen Post in einem Forum abzusetzen halte ich für arg überzogen und noch viel unwahrscheinlicher...

D.Mon · 19.11.04, 15:05

hallo zusammen,

die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar.
Warum ?
Router arbeiten auf dem Layer drei und vier des ISO/OSI Schichtenmodells (IP-Adressen und Ports),
Server auf den Layern drei bis sieben.
MAC-Adressen befinden sich jedoch auf dem Layer zwei.
Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen.

Das mag dem einen oder anderen als kleinliche Unterscheidung vorkommen, ist aber je nach Netzwerkumgebung ein sehr großer Unterschied.

DelumaX · 19.11.04, 22:41

Zitat:

die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar.

Das stimmt so nicht. Im selben Netzwerksegment ist diese Aussage ein Faktum da die Adressierung hier letzendlich auf der MAC-Ebene voregenommen wird. Richtig ist das dies keine gültigkeit für andere Netzwerksegmente hat.

Zitat:

Server auf den Layern drei bis sieben.

Ein Server dann doch eher auf 5, 6 und 7 da in einem üblichen TCP/IP Netzwerk die Trägerprotokolle TCP und UDP eingesetzt werden.

Zitat:

Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen.

Getaüscht wird das OS indem man ihm einen falschen Eintrag im ARP-Cache verpasst und nicht die Hardware.

Anzeige

- Anzeige -

07.06.04, 18:29	#1 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	IP-Spoofing: Wie schwer? Anzeige Hallo, ne kurze Frage, möchte auch nicht wissen wie das geht, sondern nur wie schwer es ist, bzw. evt. etwas Theorie Also wenn die Person A von der Person B die IP klauen möchte, und sich mit der IP von Person B im Internet (auf der Homepage) ausgeben möchte, wie schwer ist das? Also Person B ist Offline, und Person A kennt die IP von Person B. Person A möchte einfach nur das in den Logfiles des Servers die IP von Person B steht, mehr nicht, keine Verbindung klauen oder ähnliches. Reicht dafür einfach ein kleines Programm, wo man nur auf: IP-Change klicken muss (was ich nicht glaube) oder ist es viel schwerer so ne IP zu klauen/sich damit auszugeben? Hintergrund: Im Forum meint jemand, er habe den Beitrag nicht geschrieben ob wohl es seine IP (genau seine) ist. Er meinte es wäre sehr leicht die IP zu klauen, was ich nicht glaube (das mit sehr leicht), deswegen frage ich euch mal.

07.06.04, 19:09	#3 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	man kann sich ips auch kaufen kaufen du kannst eine Fremde IP nur benutzen, fürs inet, wenn die person auch online ist. oder Person B ist online, und hat einen Trojaner, den Person A steuert, das müsste aber Person B auffallen mfg Sven __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

17.11.04, 22:06	#7 (permalink)
Carpe_diuM Registriert seit: 17.11.04 Likes: 0	IP aus Sowjetunio Zur Bemerkung: Sollte jedoch irgendwer noch irgendwie eine Möglichkeit kennen, eine IP vorzutäuschen möge er das bitte posten, ich muss einer Website weis machen, ich käme aus Neuseeland oder der Sovietunion^^ Aus eurem Gespräch hörte ich raus, dass ihr wisst wie man einen proxy dazwischenschaltet. Wenn du als Bürger der Sovietunion surfen willst, such dir eine proxylist mit einem russischen Proxy, wenn nicht in europa vorhanden, dann geh auf yandex.ru oder port.ru und benutz diese suchrobotter um einen russischen proxy zu finden..... Zum Thema IP von Person B: Kommt es dir drauf an deine IP durch B zu verbergen oder B etwas anzuhängen, das verbergen ist nicht illegal, das anhängen schon. Außerdem wird B (wenn es ein privater Rechner ist) doch durch einen trace durchscanbar sein, im gegensatz zu einem stabilerem proxy, oder?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IP Spoofing	brave_snoopy	(In)security allgemein	7	06.04.08 17:37
IP Spoofing	brave_snoopy	(In)security allgemein	10	10.11.06 16:05
mac spoofing	pau	Network · LAN, WAN, Firewalls	5	24.07.05 19:59
MAC Spoofing	scratchy	(In)security allgemein	26	15.04.04 17:06
ip-spoofing	dark faro	Internet Allgemein	2	28.08.03 06:32

07.06.04, 19:08	#2 (permalink)
gmw Registriert seit: 06.06.04 Likes: 0	Soweit ich weiß kann man keine falsche IP verwenden, weil diese zwingend benötigt wird damit Content aus dem Web zu dir kommt, es kann aber sein dass betreffende Person in deinem Forum über einen Proxy suft, und ein andrer, der das geschrieben hat über den selben, was die gleiche IP erklären würde, da man mit Proxy Servern unter Umständen die eigene IP verstecken kann... Was jedoch geht ist mit einer fremden IP Telneten oder IRC chatten, dazu benötigt man ein sogenanntes "WinGate". Wingate ist ein Software-Routing Programm, das in frühereren Verisonen mit extremen Sicherheitslücken daherkam - mit Kenntnis der entsprechenden Befehle konnt eigentlich jeder das ungeschützte Wingate auf einem Fremden PC als Proxy benutzen - und damit eine fremde IP-Adresse vortäuschen. Derartige Wingates gibt es aber inwzischen kaum noch und soweit ich weiß ist es auch nicht möglich, mit diesen im www zu operieren... Sollte jedoch irgendwer noch irgendwie eine Möglichkeit kennen, eine IP vorzutäuschen möge er das bitte posten, ich muss einer Website weis machen, ich käme aus Neuseeland oder der Sovietunion^^

07.06.04, 19:12	#4 (permalink)
Elderan Moderator Themenstarter Registriert seit: 30.03.04 Likes: 14	Hallo, ich hab mal nachgefragt und der User benutzt keinen Proxy (soviel versteh ich auch noch vom IP Spoofen ) Das mit Trojaner könnte auch eine möglichkeit sein, glaube ich aber eher nicht.

07.06.04, 19:15	#5 (permalink)
gmw Registriert seit: 06.06.04 Likes: 0	Der Link geht nicht... Ja ok, das mit dem Trojaner ginge auch... Aber es muss tatsächlich noch eine andere Möglichkeit geben, da dies Teil von gleich zwei Online Security Challenges ist ( http://www.cyberarmy.com und http://www.arcanum.co.nz ).... Diese Seiten sollen einem vermitteln, wie man gewisse Sicherheitslücken ausnützt, man könnte sie auch als HackIts bezeichnen, jedoch ist es ganz gewiss nicht Teil dieser Aufgaben rechtlich illegale Dinge zu tun, es muss also auch einen legalen, kostenlosen Weg geben, eine Falsche Identität im Netz vorzutäuschen, OHNE einen Proxy zu verwenden... Fragt sich nur, welcher

22.06.04, 15:14	#6 (permalink)
D.Mon Registriert seit: 03.04.04 Likes: 0	hallo zusammen, das Spoofen einer IP Adresse ist grundsätzlich erstmal ausgesprochen banal. Nur gibts da zwei Probleme. Man wird zwar Pakete mit fremden IP Adressen abschicken können, nur: die Antwort wird an den fremden Rechner geschickt werden und dort mit sehr großer Wahrscheinlichkeit verworfen werden. Eine Kommunikation ist so nicht möglich. Bei TCP ergibt sich ein weiteres Problem. Da TCP ein verbindungsorientiertes Protokoll ist, wird man mit einer fremden IP Adresse noch nicht einmal eine Verbindung aufbauen können, da man den Handshake nicht durchführen kann. Eine gewisse Ausnahme gilt bei der Ausnutzung der Eigenarten des ftp Protokolls. Man kann mit Tricks ftp Server dazu benutzen, "Portscans" mit deren IP Adresse durchzuführen. btw: Das mit dem Proxy ist IMHO kein IP Spoofing im eigentlichen Sinn sondern lediglich ein Verbergen der eigenen Identität (sprich: IP Adresse).

17.11.04, 22:40	#8 (permalink)
AaFreak Member of Honour Registriert seit: 01.02.02 Likes: 0	jo mit wingates geht des sicherlich. und es gibt schon noch genügend... oke nicht weitgehend so viele wie früher. aber da gibts schon möglichkeiten die zu finden.. ich benütz die aber net wirklich um meine ip zu verbergen..

19.11.04, 07:32	#9 (permalink)
4future Registriert seit: 07.05.03 Likes: 0	Zur Theorie: man klaut von niemandem die IP sondern sendet nur gerfälschte Pakete mit der falschen Absenderadresse, und wenn's noch eine nummer extremer wird sendet man noch arp's, icmp's und snmp's aus um die router auf einen selbst umzubiegen...

19.11.04, 09:30	#10 (permalink)
ShirKhan76 Registriert seit: 17.11.04 Likes: 0	wieso gehen wir nicht einmal ein Stufe tiefer im Protokol und probieren es über die MAC Adresse? Wäre das ganze nicht über ARP Poising gegenüber dem Server zu machen, also ich sende dem Server modifizierte ARP Päckchen und sage ihm dass die IP 1.2.3.4 die MAC von meiner Karte jetzt hat. Das ARP Protokol ist ziehmlich alt und hat sehr wenig Sicherheit zu bieten. Wenn ich es schaff dass der Server meine MAC Adress zu der IP der Person 5 in seiner ARP Tabelle einträgt, müsste die Kommunikation stehen und der Server sieht die IP der Person B. OK soweit so gut, so wie ich es verstanden habe, hat jemand etwas gepostet und der jenige zu dem die IP passt, sagt er wars net! Schenken wir ihm mal glauben, was könnte passiert sein? Der Bösewicht muss sich ja nicht nur die IP geklaut haben sondern auch den Account, oder? Also hat sich unser Mann auf den Server gehäckt und dort den Account gestohlen und die Logs modifiziert oder er hat sich zwischen Client und Server gestellt als Man-in-dä-Middle und das macht man über die MAC Schiene, klaut sich so die Accountdaten vom Client, in dem er die Sitzung mitschneidet, wartet brav bis unser Client sein Geschäft verrichtet hat und schlägt dann bitter böse zu! Ein interessanter Bericht dazu stand in Linux Magazin Security Edition, allerdings habe ich das bisher nur mit Clients im gleichen Netzwerksegment probiert, ich kann nicht mit Gewissheit sagen ob das über andere Segmente auch geht! ?( best greetz ShirKhan76

19.11.04, 10:21	#11 (permalink)
DelumaX Senior Member Registriert seit: 02.10.01 Likes: 0	@ShirKhan76: Das funktioniert nur im eigenen Subnetz

19.11.04, 12:13	#12 (permalink)
ShirKhan76 Registriert seit: 17.11.04 Likes: 0	@ DelumaX jo habs gelesen im anderen Thema! Aber ich meine es reicht wenn einer der beiden - also Client oder Server im gleichen Subnetz sich befindet wie der MITA! Als Gegenstelle wird dann das Gateway verwendet. So müsste es auch gehen... Best greetz ShirKhan76

19.11.04, 13:44	#13 (permalink)
DelumaX Senior Member Registriert seit: 02.10.01 Likes: 0	Vieleicht stehe ich gerade auf dem Schlauch, aber kannst du mir mal MITA definieren? Btw: Wenn der Angreifer im selben Netzwerk sitzt könnte er auf diese Art und Weise die Acountdaten in seinen besitz gebracht haben. Da er dann auch das selbe Gateway benutzt würden natürlich auch die IP-Adresse in den Logfiles passen. Aber es geht imho darum das ein einzelner Homeuser, also ohne andere Clients, behauptet er hätte die Posts nicht abgesetzt. In diesem Fall fällt ARP-Spoofing hinten rüber da sich der Angreifer nicht in seinem Subnetz befunden haben kann. Und wenn er die Accountdaten anderweitig erschlichen hat, ist es immer noch unmöglich das er von ausserhalb die IP-Adresse des Opfers nutzt. Es sei den natürlich er hat den Rechner des Opfers zum Proxy umkonfiguriert oder hat ihn anderweitig unter Kontrolle. Wenn es dann um echtes IP-Spoofing gehen würde, so wäre das ganze alles andere als trivial. Es müsste zum einem der Rechner des Opfers ausser Gefecht gesetzt werden und zum anderen müsste der Angreifer blind auf die Antworten des Servers reagieren.. Und auf diese Weise einen vollständigen Post in einem Forum abzusetzen halte ich für arg überzogen und noch viel unwahrscheinlicher...

19.11.04, 15:05	#14 (permalink)
D.Mon Registriert seit: 03.04.04 Likes: 0	hallo zusammen, die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar. Warum ? Router arbeiten auf dem Layer drei und vier des ISO/OSI Schichtenmodells (IP-Adressen und Ports), Server auf den Layern drei bis sieben. MAC-Adressen befinden sich jedoch auf dem Layer zwei. Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen. Das mag dem einen oder anderen als kleinliche Unterscheidung vorkommen, ist aber je nach Netzwerkumgebung ein sehr großer Unterschied.

[HaBo]

IP-Spoofing: Wie schwer?