Gespoofte IP-Pakete gehen anders als erwartet raus ins Internet

S

Slude

0
Hy,
ich habe ein Windows-2000 als Gateway eingestellt und auf den Gateway habe ich ein Programm am Laufen, das Pakete raus ins Internet sendet, mit gefälschter Absenderadresse.

Innerhalb im Netzwerk funktioniert das Tool perfekt, aber wenn ich ein Paket rausschicken will (auch wenn ich direkt vom Server verschicke), wird die gespoofte Absenderadresse durch den Gateway durch seine eigene ersetzt und die Pakete gehen mit richtiger IP-Adresse raus.

Der automatischer IP-Header wirde korrekt mit SetSockOpt() ausgeschaltet (sonst ginge es ja nicht im Netzwerk). Zum Senden benutze ich folgenden Befehl: SendTo(raw-socket,buffer,länge(buffer),0,ziel-adr,sizeof(ziel-adr)); - wobei sowohl in ziel-adr als auch im Buffer die ZielIP angegeben ist.

Was muss ich machen, damit der Gateway nicht mehr denkt, er müsse das Paket routen und somit die Quell-IP ersetzen ?
 
Hast Du das Programm selbst geschrieben ?

- Wenn ja wuerde mich interessieren, was du mit dem host machst, deren IP du spoofen willst.
- auf welchen Dienst Du es beim Ziel abgesehen hast..


versuch mal einen rechner ohne Gate an netz zu binden und probiere es dann...

:wq!
 
Ich habe es komplett selbstgeschrieben - es gibt auch kein Teil Code, den ich rauskopiert habe, sondern ich habe alles durch Tutorials erlernt.

Es gibt viele Sachen, die ich gerne "anstellen" möchte.
Es gibt so gewisse, Leute, die ich gerne mal meine Meinung zeigen will: Spammer, Script-Kiddies und freche Chatter, die mich dauerflooden, und dann noch aus Spaß, zu wissen wie es geht :)

Gibt es nicht sowas wie DontRoute ? Ich weiß nicht, wo ich das ins Paket einbinden muss (in den Tutos steht nirgenswo ein DoNotRoute, geh mal davon aus, sowas würde nicht ins Paket kommen), ... Send(...,DONTROUTE) geht auch nicht oder muss man irgendwo im Ziel 0.0.0.0 eingeben, damit es direkt ins internet geht ... ?( Es gibt so viele Möglichkeiten.
 
Sowas wie ein "Do Not Route" als Socket-Option(setsockopt()) gibts. Aber ich weiß nicht ob sich damit dein Vorhaben erreichen läßt.
In meinem Buch("Programmieren von Unix-Netzwerken") steht:

"SO_DONTROUTE
Diese Option gibt an, daß ausgehende Pakete den normalen Routing-Mechanismus des darunterliegenden Protokolls umgehen sollen. So wird bei IPv4 das Paket beispielsweise zur entsprechenden lokalen Schnittstelle gelenkt, die über den Netzwerk- und den Subnetz Teil der Zieladresse angegeben wurde. Läßt sich die lokale Schnittstelle nicht anhand der Zieladresse ermitteln(die Zieladresse ist beispielsweise nicht das andere Ende einer Punkt-zu-Punkt-Verbindung oder befindet sich nicht im gemeinsamen netzwerk) wird ENETUNREACH zurückgegeben.

Das Äquivalent dieser Option kann auch für einzelne Datagramme eingesetzt werden: dazu setzt man in send-, sendto- oder sendmsg-Funktionen das MSG_DONTROUTE-Flag.
Diese Option wird häufig von den Routing-Dämons(routed und gated) zur Umgehung der Routing-Tabelle(falls die Routing-Tabelle nicht korrekt ist) genutzt und erzwingt den Versand eines Paketes über eine bestimmte Schnittstelle."

Soweit ich das verstanden hab kannst du das Problem damit nicht lösen. .
Wie seth schon sagte: "versuch mal einen rechner ohne Gate ans netz zu binden und probiere es dann..."

Ich finde es nicht schlecht wenn man sich mit der Socket-Programmierung ausernander setzt, aber das du es aus dem Grund machst dich bei irgendwelchen Leuten zu rächen, das finde ich absolut überhaupt nicht OK!!
 
Danke, aber wenn ich mich schon aus Spaß mit Socket-Programmierung beschäftige und ein Internetdienst programmiert habe aber mich ein Schritt weiter zu Rawsocks getraut habe, warum sollte ich nicht die Möglichkeiten ausnutzen, die ich dann habe ? Außerdem ist es nicht nur aus Rache, sonst hätte ich ja auch Klickibunti WinNuke & Co. nehmen können, die mehr oder weniger funktionieren.
 
@Slude

ICh wuerde mich freuen, wenn Du das Konzept Deines Spooftools mal
darlegen wuerdest,, zb ob die IP, die du annimmst vorher checkst, welchen Dienst Dein Programm "angreift" etc...

mfg
:wq!
 
Ich möchte die Schwächen ausnutzen, die unter folgenden Seiten aufgelistet sind:
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0210&L=ntbugtraq&F=P&S=&P=2819 (ZomeAlarm & SYN's => Freeze)
und
http://online.securityfocus.com/archive/1/280544 (Unreal Tourment [auf mein anderen Rechner habe ich den Source, den ich umschreiben möchte und so, das er auch wirklich spooft])
und
ich habe herausgefunden, das ich ganz viele SYN's zu mein anderen Rechner (Win98) schicke, dann steigt das IP-Protokoll aus (von der außenwelt bis zum Neustart abgeschnitten)

Die Routine, die IP ( UDP und TCP ) senden kann, besitze ich schon und funktioniert innerhalb im Netz perfekt.
 
Hast Du in deinem Router oder Gateway für die
die zu spoofende Addy / den Port die NAT ausgeschaltet?

Versuch mal einen direkten statischen Link einzurichten!

Ich schliess mich Seth an, dein Hack ist es
wert, mal in einem Journal einer in Gründung
befindlichen Hack... öhm, sorry Sicherheitsgroup
vorgestellt zu werden.

*duck* :P :P
 
Vielleicht eine kleine Hilfe.

@slude.

Ich habe mir mal dein Prob näher betrachtet, vielleicht hilft Dir
dieses kleine Tool, insbesondere der Sourcecode.

Google mal nach sendip (tar.gz);

Ich hoffe es hilft Dir! ;)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben