IP-Spoofing: Wie schwer?

Ich kenn mich jetzt zwar nicht so wirklich gut aus, aber ich hab mal ein paar RFC's gelesen (wenn auch nur ansatzweise verstanden) und ein paar Erläuterungen dazu gelesen.

Ein IP Spoofing kann durchaus sinnvoll sein. Wir haben da uns, ein Ziel und ein Opfer (das Opfer ist derjenige, dessen IP wir "übernehmen").

Damit es funktioniert muss das Opfer (und natürlich auch das Ziel) online sein. Dann führt man eine Denial of Service Attacke gegen das Opfer durch. Das ist darum notwendig: Pakete unter falscher IP zu verschicken ist wie bereits erwähnt wurde kein großes Problem, nur wird die Antwort dann auch tatsächlich an diese IP gegeben. Das Opfer aber wird "erkennen" dass es keine Kommunikation aufgebaut hat und das dann dem Ziel "mitteilen" wodurch die Kommunikation beendet wird. Deshalb ist es notwendig, dass das Opfer nicht antworten kann.


Als Antwort auf die ursprüngliche Frage formuliert: Übermäßig schwer ist es also eigentlich tatsächlich nicht...

@Carpe_diuM: Das mit dem nz Proxy hat jetzt geklappt inzwischen, aber einen russichen/sovietischen hab ich immer noch keinen braubaren, abgesehen davon ist die Challenge Seite gerade offline, und die sagten da auch vermehrt dass Proxy Hunting nicht die Lösung sei (dies allerdings ist nicht unbedingt eine wahre Information, da die Leute auf höheren Levels da die Pflicht(!) haben, niedere Ränge in die Irre zu führen, allerdings auf eine Art und Weise, dass diese sich dann Wissen aneignen, welches sie für die Challenge an sich nicht wirklich brauchen, aber welches durchaus nützlich sein kann^^)

mfg gmw
 
schönen Montag morgen erstmal, ich hoffe IHr seit alle gut in den Montag gestartet...

Ok, hat sich ja ne rege Diskusion hier ergeben von wegen ARP-, MAC und IP Spoofing!

Hät mich eigentlich mal instessiert was hier die Leutchen so meinen zu diesem Fall und ARP Spoofing und nicht was es im einzelnen bedeutet! Was denkt ihr was hier passiert ist?

Also ich habe da ein paar Theorien was passiert ist:

1) Person A hat das selbst gepostet und hat jetzt die Hosen voll! Mittlerweile würde ich doch zu gerne wissen um was für einen Eintrag in welchem Forum es sich handel! @ Elderan, vielleicht kannste das mal posten hier?

2) der Webserver des Forums wurde gehackt und die Accountdaten wurden dort geklaut und der Eintrag und Logs wurden modifiziert.

3) der Person A wurde en Keylogger untergeschoben und so wurden die Accountdaten und IP Adresse geklaut. Vielleicht ist der Bösewicht beim gleichen Provider und konnte sich so die IP fix vergeben.

4) die berühmte MITMA hat stattgefunden, wäre auch kein Problem wenn Person A und Bösewicht beim gleichen Provider sind, könnte es sein, dass zum Zeitpunkt des Angriffes bei im gleichen Subnetz waren und der Angriffer der Person A seine MAC Adresse als Gateway und dem Gateway seine MAC als Person A untergeschoben hat und mit nem Sniffer die Season mitgeschnitten hat und so zur IP und Accountdaten gekommen ist! Danach mit den geklauten Daten und gefälscher IP die Posts erstellt hat!

und

5) irgend so ein verpickeltes kleines Scriptkiddie hat zufälligerweise einen Sniffer am laufen gehabt und ist beim gleichen Provider wie Person A, hat die Season mitgeschnitten und nach Login Daten gesucht! Bums Volltreffer: IP und Accountdaten! PP (persönliches Pech) für Person A

Also wenn ihr mich fragt, würde ich auf Theorie 5 tippen!

Original von D.Mon
Außerdem erfolgt die physikalische Adressierung eines Servers oder Routers) nicht zwingend mit einer MAC-Adresse. Beipiele: Einwahlserver oder ISDN Router.
Zum Vergrößern anklicken....
bei ISDN und Einwahlserver wird auch ein andere Protokollimplementierung verwendet, auf die TCP/IP draufgesetzt wird.

Server auf den Layern drei bis sieben.
Zum Vergrößern anklicken....
Also noch mal was grundsätzliches: Auch wenn die Router und Switches auf Layer 3 routen, kommunizieren sie trotzdem über die MAC Adressen, sie packen blos die Pakete, die vorbeikommen auf Schicht 3 aus und schauen an wenn die Pakete weitergehen und verschicken die dann.

Ich sehe, dass hier ein rege Beitragswelle zum Thema ARP Spoofing gehagelt hat, vielleicht sollten wir diesbezüglich einen kleinen Workaround machen, en paar nützliche Tools vorstellen und Erfahrungen austauschen in einem separaten Thread?! Wer doch was oder....

best greetz

ShirKhan76
 
Original von ShirKhan76...
Original von D.Mon
Außerdem erfolgt die physikalische Adressierung eines Servers oder Routers) nicht zwingend mit einer MAC-Adresse. Beipiele: Einwahlserver oder ISDN Router.
Zum Vergrößern anklicken....
bei ISDN und Einwahlserver wird auch ein andere Protokollimplementierung verwendet, auf die TCP/IP draufgesetzt wird.
Zum Vergrößern anklicken....
Genau, und darum werden Server und Router eben nicht notwendigerweise über die MAC-Adresse angesprochen, sondern über die Adresse, die - allgemein gesprochen - auf dem Layer verwendet wird, auf dem diese Geräte/Dienste arbeiten. Heute ist das sehr oft TCP/IP, muss aber nicht sein. Auf dem Layer zwei, kann das MAC sein, ist aber ebenfalls nicht zwingend.

Original von ShirKhan76...
Server auf den Layern drei bis sieben.
Zum Vergrößern anklicken....
Also noch mal was grundsätzliches: Auch wenn die Router und Switches auf Layer 3 routen, kommunizieren sie trotzdem über die MAC Adressen, sie packen blos die Pakete, die vorbeikommen auf Schicht 3 aus und schauen an wenn die Pakete weitergehen und verschicken die dann.
...
Zum Vergrößern anklicken....
Meiner Ansicht nach ist, wie oben ausgeführt, die physikalische Adressierung nicht zwingen MAC.
Außerdem ist es oft so, dass nicht Server oder Router letztendlich die "falsche" Adressierung durchführen, sondern die Switches. In diesem Fall sind Server oder Router an der "Täuschungsaktion" überhaupt nicht beteiligt sondern adressieren völlig korrekt an den echte Zielrechner.
----
Original von gmw
...
Damit es funktioniert muss das Opfer (und natürlich auch das Ziel) online sein. Dann führt man eine Denial of Service Attacke gegen das Opfer durch. Das ist darum notwendig:
... Deshalb ist es notwendig, dass das Opfer nicht antworten kann.
...
Zum Vergrößern anklicken....
IMHO ist es nicht zwingend erforderlich, dass der legitime Eigentümer der gespooften IP-Adresse tatsächloch online ist. Ein Problem besteht manchmal darin, dass man u. U. die Antworten des Angriffsziels nicht erhält, da möglicherweise keine Route vom Angreifer zum Angriffsziel existiert.
Je nach Ziel des Angriffs, ist das aber gar nicht erforderlich.
 
Original von D.Mon
Original von DelumaX
die oben genannte Theorie (4future, ShirKhan26) , man könne bei Routern oder Servern durch vortäuschen einer falschen MAC-Adresse (arp) die Adressssierung von Datenpaketen erreichen ist imho nicht haltbar.
Zum Vergrößern anklicken....
Das stimmt so nicht. Im selben Netzwerksegment ist diese Aussage ein Faktum da die Adressierung hier letzendlich auf der MAC-Ebene voregenommen wird. Richtig ist das dies keine gültigkeit für andere Netzwerksegmente hat.
Zum Vergrößern anklicken....
Das kann man sicher auf die eine oder andere Art betrachten. Ich persönlich ziehe die o. g. Sichtweise vor, da ich mir so klarer bin, was eigentlich wo passiert und welche Komponenten beteiligt sind.
Außerdem erfolgt die physikalische Adressierung eines Servers oder Routers) nicht zwingend mit einer MAC-Adresse. Beipiele: Einwahlserver oder ISDN Router.
Zum Vergrößern anklicken....
Es ist selbstverständlich das auch andere Mechanismen wie ARP genutzt werden wenn wir uns Abseits des Ethernets bewegen. Im Ethernet jedoch ist die ARP Problematik generelll vorhanden und für diesen Bereich haben die entsprechenden Aussagen definitiv ihre Gültigkeit..

Original von DelumaX
Server auf den Layern drei bis sieben.
Zum Vergrößern anklicken....
Ein Server dann doch eher auf 5, 6 und 7 da in einem üblichen TCP/IP Netzwerk die Trägerprotokolle TCP und UDP eingesetzt werden.
Zum Vergrößern anklicken....
Da sehe ich nicht so, da ein Server maßgeblich von den Protokollen drei und vier mit abhängt.
Kleines Beispiel: Es dürfte schwierig sein, einen NFS-Server über AppleTalk oder IPX laufen zu lassen. In einem Ethernet sind jedoch immer MAC-Adressen beteiligt.
Zum Vergrößern anklicken....
Wenn wir schon das OSI-Modell heranziehen so sollten wir auch dessen theoretische Natur beachten. Generell sollten die jeweils untergeordneten Schichten transparent für die übergeordnete sein und diese nicht direkt beinflussen. Unter diesem Gesichtspunkt arbeiten Serverdienste typischerweise auf den Layern 5, 6 und 7. Ansonsten müsste man schliesslich davon ausgehen das der Server auch von den Layern 1 und 2 abhängig ist. Wie gesagt reine Theorie! Die Wirklichkeit sieht natürlich oft anders aus..

Original von DelumaX
Mit anderen Worten: Um durch MAC-Spoofing (arp-spoofing) eine Paketumleitung zu erreichen, muss man den Switch oder die Netzwerkkarte täuschen.
Zum Vergrößern anklicken....
Getaüscht wird das OS indem man ihm einen falschen Eintrag im ARP-Cache verpasst und nicht die Hardware.
Zum Vergrößern anklicken....
Auch hier sind imho zwei Betrachtunsweisen zulässig. Das OS nimmt den falschen Eintrag in der MAC-Adressen Tabelle vor, weil der physikalischen Schnittstelle des Switches eine gefälschte information geliefert wird.
Primar getäuscht wird aber nach meiner Ansicht die physikalische Schnittstelle;
Zum Vergrößern anklicken....
Das OS nimmt den falschen Eintrag vor weil es einen gefälschten ARP-Reply oder ARP-Request erhält und nicht weil der Switch eine gefälschte Information erhält. Der Switch speichert zwar die Zugehörigkeit der gespooften MAC-Adresse zum entsprechenden Port, aber er beinflusst in keiner Form das OS. Anschliessend adressiert das getäuschte OS falsch und der Switch arbeitet im Grunde vollkommen korrekt das falsch adressierte Paket ab. Getäuscht wird also primär das OS.

Die einzige Ausnahme wäre den anzugreifenden Host offline zu zwingen und dessen MAC-Adresse anzunehemen solange diese noch in den ARP-Caches der anderen Rechner steht. Dieses Szenario hat aber imho nur in einem LAN Sinn in dem die ARP-Einträge statisch vergeben werden. Ansonsten kann man auch direkt die von /dev/null beschriebene Methode anwenden. Zumal dies dann nicht wirklich etwas mit ARP oder einer MITMA zu tun hat.

@gmw: Findest du es nicht komisch das der Host nur online sein soll um ihn dann wieder offline zu zwingen ;)
 
Original von DelumaX
...
Wenn wir schon das OSI-Modell heranziehen so sollten wir auch dessen theoretische Natur beachten. Generell sollten die jeweils untergeordneten Schichten transparent für die übergeordnete sein und diese nicht direkt beinflussen. Unter diesem Gesichtspunkt arbeiten Serverdienste typischerweise auf den Layern 5, 6 und 7.
...
Zum Vergrößern anklicken....
Meiner Ansicht nach solte man die tatsächlichen verhältnisse betrachten, die, wie Du ja selbst sagst, von der Theorie abweichen können.
Und manche Serverdienste laufen nun mal nur auf bestimmten Layer drei und vier Protokollen; das ist ein Faktum, das man IMHO nicht aus theoretischen Überlegungen heraus ignorieren sollte.

Original von DelumaX
...
Ansonsten müsste man schliesslich davon ausgehen das der Server auch von den Layern 1 und 2 abhängig ist. Wie gesagt reine Theorie! Die Wirklichkeit sieht natürlich oft anders aus..
...
Zum Vergrößern anklicken....
Wenn dies den Tatsachen entspräche, sollte man das tun; allerdings ist mir hier keine Beispiel bekannt.
----
Was die Adresseirung von Datenpaketen durch Serverdienste angeht, bin ich von Deinen Argumenten aus folgenden Gründen noch nicht überzeugt.
1. Ein Serverdienst, setzt i. d. R. unmittelbar auf die Layer drei und vier Protokolle auf (Stichwort: Bereitstellung von Netzwerksockets, die auf den Layern drei und vier definiert sind) und ist von diesen direkt abhängig. - Vom Layer-zwei-Protokoll sind Serverdienste dagegen weitgehend oder völlig unabhängig.
2. Bei der Adressierung eines Datenpaketes sind für den Server lediglich die Layer drei und vier von Bedeutung. Diese bleibt auch konstant, während die Layer zwei Adressierung in jedem Netzwerksegment neu vorgenommen wird. Die Adressierung, die dabei vom OS vorgenommen wird, ist hier nur der erste Schritt.

Die Situation, dass ein arp-Spoofing im logischen Netzwerk, in dem der offizielle Client angesiedelt ist, durchgeführt wird, lässt sich mit der "Server"-Theorie ebensowenig erklären, wie die mitm-Methode.
In beiden Fällen, werden die Datenpakete absolut korrekt und ohne Täuschun "auf die Reise" geschickt.
Die Situation ist vielleicht mit folgendem Beispiel vergleichbar.:
Angenommen, ich gehe in einem Mehrfamilienhaus (logisches Netz) vormittags um 9:00 zum Briefkasten, und schreibe auf meinen Briefkasten den Namen des Nachbarn (arp-Spoofing; Fälschen, der physikalishcen Adressierung); beim Nachbarn, klebe ich ein weisses Schildchen über den Namen (DoS-Angriff). Der Breifträger (Switch) steckt nun die Briefe (Datenpakete), die ein Absender (Server), völlig richtig adressiert hat, in meinen Briefkasten (Netzwerkschnittstelle).
Der Absender (Server) wurde hier in keinster Weise getäuscht und hat auch mit der pysikalischen Adressierung nichts zu tun, außer, dass er den Brief in den richtigen Postbriefkasten (arp-Adresse im Ausgangsnetz) eingeworfen hat.

Versteh mich bitte nicht falsch; es geht mir nicht darum Recht zu behalten oder gar Dich zu überzeugen.
Letztendlich muss jeder für sich selbst entscheiden, wie er sich die die Techniken und Methoden erklärt und verstehen kann.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben