IP-Spoofing: Wie schwer?

Elderan

Elderan

0
Hallo,
ne kurze Frage, möchte auch nicht wissen wie das geht, sondern nur wie schwer es ist, bzw. evt. etwas Theorie ;)

Also wenn die Person A von der Person B die IP klauen möchte, und sich mit der IP von Person B im Internet (auf der Homepage) ausgeben möchte, wie schwer ist das? Also Person B ist Offline, und Person A kennt die IP von Person B.
Person A möchte einfach nur das in den Logfiles des Servers die IP von Person B steht, mehr nicht, keine Verbindung klauen oder ähnliches.

Reicht dafür einfach ein kleines Programm, wo man nur auf: IP-Change klicken muss (was ich nicht glaube) oder ist es viel schwerer so ne IP zu klauen/sich damit auszugeben?

Hintergrund:
Im Forum meint jemand, er habe den Beitrag nicht geschrieben ob wohl es seine IP (genau seine) ist. Er meinte es wäre sehr leicht die IP zu klauen, was ich nicht glaube (das mit sehr leicht), deswegen frage ich euch mal.
 
Soweit ich weiß kann man keine falsche IP verwenden, weil diese zwingend benötigt wird damit Content aus dem Web zu dir kommt, es kann aber sein dass betreffende Person in deinem Forum über einen Proxy suft, und ein andrer, der das geschrieben hat über den selben, was die gleiche IP erklären würde, da man mit Proxy Servern unter Umständen die eigene IP verstecken kann...

Was jedoch geht ist mit einer fremden IP Telneten oder IRC chatten, dazu benötigt man ein sogenanntes "WinGate".

Wingate ist ein Software-Routing Programm, das in frühereren Verisonen mit extremen Sicherheitslücken daherkam - mit Kenntnis der entsprechenden Befehle konnt eigentlich jeder das ungeschützte Wingate auf einem Fremden PC als Proxy benutzen - und damit eine fremde IP-Adresse vortäuschen. Derartige Wingates gibt es aber inwzischen kaum noch und soweit ich weiß ist es auch nicht möglich, mit diesen im www zu operieren...

Sollte jedoch irgendwer noch irgendwie eine Möglichkeit kennen, eine IP vorzutäuschen möge er das bitte posten, ich muss einer Website weis machen, ich käme aus Neuseeland oder der Sovietunion^^ ;)
 
man kann sich ips auch kaufen kaufen

du kannst eine Fremde IP nur benutzen, fürs inet, wenn die person auch online ist.
oder
Person B ist online, und hat einen Trojaner, den Person A steuert, das müsste aber Person B auffallen

mfg
Sven
 
Hallo,
ich hab mal nachgefragt und der User benutzt keinen Proxy (soviel versteh ich auch noch vom IP Spoofen ;) )

Das mit Trojaner könnte auch eine möglichkeit sein, glaube ich aber eher nicht.
 
Der Link geht nicht...

Ja ok, das mit dem Trojaner ginge auch... Aber es muss tatsächlich noch eine andere Möglichkeit geben, da dies Teil von gleich zwei Online Security Challenges ist ( http://www.cyberarmy.com und http://www.arcanum.co.nz )....

Diese Seiten sollen einem vermitteln, wie man gewisse Sicherheitslücken ausnützt, man könnte sie auch als HackIts bezeichnen, jedoch ist es ganz gewiss nicht Teil dieser Aufgaben rechtlich illegale Dinge zu tun, es muss also auch einen legalen, kostenlosen Weg geben, eine Falsche Identität im Netz vorzutäuschen, OHNE einen Proxy zu verwenden... Fragt sich nur, welcher ;)
 
hallo zusammen,

das Spoofen einer IP Adresse ist grundsätzlich erstmal ausgesprochen banal.
Nur gibts da zwei Probleme.

Man wird zwar Pakete mit fremden IP Adressen abschicken können, nur: die Antwort wird an den fremden Rechner geschickt werden und dort mit sehr großer Wahrscheinlichkeit verworfen werden. Eine Kommunikation ist so nicht möglich.

Bei TCP ergibt sich ein weiteres Problem.
Da TCP ein verbindungsorientiertes Protokoll ist, wird man mit einer fremden IP Adresse noch nicht einmal eine Verbindung aufbauen können, da man den Handshake nicht durchführen kann.

Eine gewisse Ausnahme gilt bei der Ausnutzung der Eigenarten des ftp Protokolls.
Man kann mit Tricks ftp Server dazu benutzen, "Portscans" mit deren IP Adresse durchzuführen.

btw:
Das mit dem Proxy ist IMHO kein IP Spoofing im eigentlichen Sinn sondern lediglich ein Verbergen der eigenen Identität (sprich: IP Adresse).
 
IP aus Sowjetunio

Zur Bemerkung:
Sollte jedoch irgendwer noch irgendwie eine Möglichkeit kennen, eine IP vorzutäuschen möge er das bitte posten, ich muss einer Website weis machen, ich käme aus Neuseeland oder der Sovietunion^^

Aus eurem Gespräch hörte ich raus, dass ihr wisst wie man einen proxy dazwischenschaltet. Wenn du als Bürger der Sovietunion surfen willst, such dir eine proxylist mit einem russischen Proxy, wenn nicht in europa vorhanden, dann geh auf yandex.ru oder port.ru und benutz diese suchrobotter um einen russischen proxy zu finden.....

Zum Thema IP von Person B: Kommt es dir drauf an deine IP durch B zu verbergen oder B etwas anzuhängen, das verbergen ist nicht illegal, das anhängen schon. Außerdem wird B (wenn es ein privater Rechner ist) doch durch einen trace durchscanbar sein, im gegensatz zu einem stabilerem proxy, oder?
 
jo mit wingates geht des sicherlich. und es gibt schon noch genügend...
oke nicht weitgehend so viele wie früher. aber da gibts schon möglichkeiten die zu finden.. 8) ich benütz die aber net wirklich um meine ip zu verbergen..
 
Zur Theorie: man klaut von niemandem die IP sondern sendet nur gerfälschte Pakete mit der falschen Absenderadresse, und wenn's noch eine nummer extremer wird sendet man noch arp's, icmp's und snmp's aus um die router auf einen selbst umzubiegen...
 
wieso gehen wir nicht einmal ein Stufe tiefer im Protokol und probieren es über die MAC Adresse? Wäre das ganze nicht über ARP Poising gegenüber dem Server zu machen, also ich sende dem Server modifizierte ARP Päckchen und sage ihm dass die IP 1.2.3.4 die MAC von meiner Karte jetzt hat. Das ARP Protokol ist ziehmlich alt und hat sehr wenig Sicherheit zu bieten. Wenn ich es schaff dass der Server meine MAC Adress zu der IP der Person 5 in seiner ARP Tabelle einträgt, müsste die Kommunikation stehen und der Server sieht die IP der Person B.

OK soweit so gut, so wie ich es verstanden habe, hat jemand etwas gepostet und der jenige zu dem die IP passt, sagt er wars net! Schenken wir ihm mal glauben, was könnte passiert sein? Der Bösewicht muss sich ja nicht nur die IP geklaut haben sondern auch den Account, oder? Also hat sich unser Mann auf den Server gehäckt und dort den Account gestohlen und die Logs modifiziert oder er hat sich zwischen Client und Server gestellt als Man-in-dä-Middle und das macht man über die MAC Schiene, klaut sich so die Accountdaten vom Client, in dem er die Sitzung mitschneidet, wartet brav bis unser Client sein Geschäft verrichtet hat und schlägt dann bitter böse zu! X(

Ein interessanter Bericht dazu stand in Linux Magazin Security Edition, allerdings habe ich das bisher nur mit Clients im gleichen Netzwerksegment probiert, ich kann nicht mit Gewissheit sagen ob das über andere Segmente auch geht! ?(

best greetz

ShirKhan76
 
@ DelumaX

jo habs gelesen im anderen Thema! Aber ich meine es reicht wenn einer der beiden - also Client oder Server im gleichen Subnetz sich befindet wie der MITA! Als Gegenstelle wird dann das Gateway verwendet. So müsste es auch gehen...

Best greetz

ShirKhan76
 
Vieleicht stehe ich gerade auf dem Schlauch, aber kannst du mir mal MITA definieren?

Btw: Wenn der Angreifer im selben Netzwerk sitzt könnte er auf diese Art und Weise die Acountdaten in seinen besitz gebracht haben. Da er dann auch das selbe Gateway benutzt würden natürlich auch die IP-Adresse in den Logfiles passen. Aber es geht imho darum das ein einzelner Homeuser, also ohne andere Clients, behauptet er hätte die Posts nicht abgesetzt. In diesem Fall fällt ARP-Spoofing hinten rüber da sich der Angreifer nicht in seinem Subnetz befunden haben kann. Und wenn er die Accountdaten anderweitig erschlichen hat, ist es immer noch unmöglich das er von ausserhalb die IP-Adresse des Opfers nutzt. Es sei den natürlich er hat den Rechner des Opfers zum Proxy umkonfiguriert oder hat ihn anderweitig unter Kontrolle.

Wenn es dann um echtes IP-Spoofing gehen würde, so wäre das ganze alles andere als trivial. Es müsste zum einem der Rechner des Opfers ausser Gefecht gesetzt werden und zum anderen müsste der Angreifer blind auf die Antworten des Servers reagieren.. Und auf diese Weise einen vollständigen Post in einem Forum abzusetzen halte ich für arg überzogen und noch viel unwahrscheinlicher...
 
hallo zusammen,

die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar.
Warum ?
Router arbeiten auf dem Layer drei und vier des ISO/OSI Schichtenmodells (IP-Adressen und Ports),
Server auf den Layern drei bis sieben.
MAC-Adressen befinden sich jedoch auf dem Layer zwei.
Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen.

Das mag dem einen oder anderen als kleinliche Unterscheidung vorkommen, ist aber je nach Netzwerkumgebung ein sehr großer Unterschied.
 
die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar.
Zum Vergrößern anklicken....
Das stimmt so nicht. Im selben Netzwerksegment ist diese Aussage ein Faktum da die Adressierung hier letzendlich auf der MAC-Ebene voregenommen wird. Richtig ist das dies keine gültigkeit für andere Netzwerksegmente hat.

Server auf den Layern drei bis sieben.
Zum Vergrößern anklicken....
Ein Server dann doch eher auf 5, 6 und 7 da in einem üblichen TCP/IP Netzwerk die Trägerprotokolle TCP und UDP eingesetzt werden.

Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen.
Zum Vergrößern anklicken....
Getaüscht wird das OS indem man ihm einen falschen Eintrag im ARP-Cache verpasst und nicht die Hardware.
 
Also wie weit sich alles oberhalb der Transportschicht durch gefälschte ARP's täuschen lässt kommt ganz auf das verwendete Protokoll und die Software dahinter an. Man kann das nicht verallgemeinern und sagen ein Server ist davon nicht betroffen, sicherlich gibt es Software und Protokollimplemetationen die gefälschte ARP's entdecken und ausfiltern können, aber meißtens ist das nicht der Fall. Was auf jedenfall gefährlicher ist wie ARP ist SNMP (wenn aktiviert). Und dass Betrifft dann mit Sicherheit auch Router und Servern. Außerderm wird SNMP im gegensatz zu ARP geroutet. Wo ich gerade bei routen bin: @D.MON mit der Aussage Router arbeiten auf Schicht vier währe ich sehr vorsichtig! klar gibt es Funktionen die für Router vorhanden sind: (z.B.: Port Forwarding, oder Port Filterung) Dass heiß aber nicht, das die komplette Transportschicht integriert ist.)
Ein Layer-3-Switch ist ja auch nicht gleich ein Router. Desweiteren sind Router von Natur aus anfällig gegen gefälschte ARP's, denn die Ende zu Ende Adressierung läuft zwar über IP, aber zum nächsten Hop (also, z.B. zum Nächsten Router/oder der Endadresse) verwendet der Router schließlich doch ARP und MAC das ja auf der Sicherungsschicht anzusiedeln ist. Klar gibt es Router mit Schutzfunktionen dagegen, allerdings wir wissen ja wie teuer Cisco Module sind... (^^) so und ich hör jetzt mal auf... ansonsten wird euch ja noch langweilig
 
Pakete fälschen geht auf jeden Fall. Wenn man den Header verändert, kann man auch eine IP-Adresse spoofen. Man bekommt keine Pakte zurück aber versenden ist kein Thema.

Irgendwie wird hier aber auch grad ARP-Poisoning und ARP-Spoofing verwechselt, deshalb ist die Aussage von D.Mon schon ok-
Beim ARP-Spoofing (oder MAC-Spoofing) wird der Switch dahingehend getäuscht, dass er die Daten am mich sendet (da ich eine reale MAC gespooft habe), anstatt zum Gateway. Von mir aus gehen sie dann an den echten Gateway. MITM.

Ganz interessant in dem Zusammenhang ist ARPSpoof von dugsong http://www.monkey.org/~dugsong/dsniff/

Gruss

root
 
Also wie weit sich alles oberhalb der Transportschicht durch gefälschte ARP's täuschen lässt kommt ganz auf das verwendete Protokoll und die Software dahinter an. Man kann das nicht verallgemeinern und sagen ein Server ist davon nicht betroffen
Zum Vergrößern anklicken....
Man kann es eher in der Richtung verallgemeinern das so gut wie jeder lokale Dienst auf diese Weise angreifbar ist. Es gibt zwar wenige Protokollimplementierungen wie IPSEC die gegen den Angriff an sich imun sind, aber selbst hier ist zumindest ein DOS-Angriff möglich. Sich gegen ARP-Angriffe zu schützen bedarf es einen wahnsinnigen Verwaltungsaufwandes der im allgemeinen nicht gerechtfertigt werden kann. Hierzu gab es jedoch imho schon mal einen Thread..

Irgendwie wird hier aber auch grad ARP-Poisoning und ARP-Spoofing verwechselt
Zum Vergrößern anklicken....
NACK, ARP-Poisoning ist lediglich eine Unterform des ARP-Spoofing. Es wird vielmehr ARP- und MAC-Spoofing verwechselt.

Beim ARP-Spoofing (oder MAC-Spoofing) wird der Switch dahingehend getäuscht, dass er die Daten am mich sendet (da ich eine reale MAC gespooft habe), anstatt zum Gateway
Zum Vergrößern anklicken....
Diese Form ist für eine MITMA ungeignet da du den echten Host in diesem Fall ausser Gefecht setzen müsstest, um sicher zu stellen das dieser nicht mehr selber auf die Anfragen antwortet bzw. der Switch wieterhin die Pakete an diesen sendet. Ansonsten läufst du Gefahr lustige Netzwerkfehler zu produzieren. Wenn auf dem Switch Portsecuurity aktiviert ist funktioniert es sowieso nicht mehr. MAC-Spoofing wird vielmehr angewendet wenn Vertrauensbeziehungen auf der MAC-Adresse basieren, wie es z. B. in WLANs oft der Fall ist. Wobei es hier durchaus auch reguläre Anwendungsgebiete wie z. B. HA-Umgebeungen gibt.
 
Kommt auf die Infrastrucktur an aus der Operiert wird. Das übernehmen einer IP kann wirklich sehr einfach sein, wie z.B. an unserer Uni, Mitarbeiter IPs werden statisch vergeben aber eine Überprüfung auf die MAC Adresse findet nicht statt... Zielrechner Offline zwingen-> IP eingeben-> Funktioniert

Just my 2 Cents
 
Original von DelumaX
die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar.
Zum Vergrößern anklicken....
Das stimmt so nicht. Im selben Netzwerksegment ist diese Aussage ein Faktum da die Adressierung hier letzendlich auf der MAC-Ebene voregenommen wird. Richtig ist das dies keine gültigkeit für andere Netzwerksegmente hat.
Zum Vergrößern anklicken....
Das kann man sicher auf die eine oder andere Art betrachten. Ich persönlich ziehe die o. g. Sichtweise vor, da ich mir so klarer bin, was eigentlich wo passiert und welche Komponenten beteiligt sind.
Außerdem erfolgt die physikalische Adressierung eines Servers oder Routers) nicht zwingend mit einer MAC-Adresse. Beipiele: Einwahlserver oder ISDN Router.
Original von DelumaX
Server auf den Layern drei bis sieben.
Zum Vergrößern anklicken....
Ein Server dann doch eher auf 5, 6 und 7 da in einem üblichen TCP/IP Netzwerk die Trägerprotokolle TCP und UDP eingesetzt werden.
Zum Vergrößern anklicken....
Da sehe ich nicht so, da ein Server maßgeblich von den Protokollen drei und vier mit abhängt.
Kleines Beispiel: Es dürfte schwierig sein, einen NFS-Server über AppleTalk oder IPX laufen zu lassen. In einem Ethernet sind jedoch immer MAC-Adressen beteiligt.
Original von DelumaX
Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen.
Zum Vergrößern anklicken....
Getaüscht wird das OS indem man ihm einen falschen Eintrag im ARP-Cache verpasst und nicht die Hardware.
Zum Vergrößern anklicken....
Auch hier sind imho zwei Betrachtunsweisen zulässig. Das OS nimmt den falschen Eintrag in der MAC-Adressen Tabelle vor, weil der physikalischen Schnittstelle des Switches eine gefälschte information geliefert wird.
Primar getäuscht wird aber nach meiner Ansicht die physikalische Schnittstelle;
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben