 |  |
 Anonym surfen mit gefälschter IP-Adresse - geht das?  |
Tappi 
Dabei seit: 21.05.2006
Beiträge: 4496
Guthaben: 649.674 FeuerMark
Aktienbestand: 15 Stück
Realer Name: Stefan
Herkunft: Steinhagen
 |
|
| Anonym surfen mit gefälschter IP-Adresse - geht das? |
     |
Viele der Internet-Surfer haben gerüchteweise davon gehört und den Gerüchten glauben geschenkt. Jetzt wollen sie es auch: Die eigene IP-Adresse
fälschen, und dann mit der gefälschten Adresse anonym surfen. Ganz so einfach ist das aber nicht. Genau und kurz gesagt, das ganze ist einfach schlichter Unsinn. Dieser Beitrag erklärt warum das nicht geht und erläutert auch wie ein Idle-Scan
funktioniert.
[stopper]
Der weg zum Verstehen des IP-Spoofing
führt über Fyodors Idle-Scan. Dabei handelt es sich um eine Scanning-Methode die sich das IP-Spoofing zu Nutze macht. Sinn des Idle-Scans
ist es, einen anderen Rechner zu scannen
, ohne das dieser Rechner eine Möglichkeit hat selbiges zu bemerken - oder gar den scannenden Rechner zu finden. Der Trick dabei: Der gescannte Rechner wird gescannt, ohne er auch nur ein einziges Paket mit der IP-Adresse des scannenden Rechners erhält.
Um zu verstehen wie das geht, muss man zunächst wissen, das jedes IP-Paket
eine .eindeutige. Nummer hat: Die fragment identification number (IP-ID
). Bei älteren Betriebssystemen war es gängige Praxis, das diese Nummer einfach für jedes Paket um eins hochgezählt wurde. Heute ist das anders, daher geht der Idle-Scan auch nur mit Hilfe eines Rechners der ein solches altes System einsetzt.
Ferner muss man wissen wie eine TCP Verbindung
aufgebaut wird. Dabei sendet der Rechner der eine Verbindung aufbauen will zunächst ein SYN Paket an den anderen Rechner. Dieser andere Rechner antwortet nun auf eine von zwei Arten: Ist der Port an den das SYN Paket gesendet wurde offen, dann sendet der Rechner ein SYN/ACK
Paket zurück. Ist der Port geschlossen, dann wird RST Paket zurückgesendet. Erhält ein Rechner ein Paket mit dem er nichts anfangen kann, dann sendet er ebenfalls ein RST zurück.
Der Idle-Scan nutzt diese Vorraussetzungen nun geschickt aus. Dazu sucht sich der Angreifer zunächst einen Rechner bei dem er die Reihenfolge der IP-ID Nummern vorhersagen kann. Dieser Rechner wird der ´Schummelknecht´ Rechner des Angreifers - er wird als Hilfsmittel beim Scan eingesetzt.
Im ersten Schritt des Scans sendet der Angreifer nun ein SYN Paket an den ´Schummelknecht´, und der antwortet mit einem RST Paket. Das enthält eine IP-ID, und diese Nummer merkt sich der Angreifer.
Im zweiten Schritt sendet der Angreifer ein SYN Paket an den angegriffenen Rechner. Dabei wird die IP-Adresse gefälscht: Der Angreifer verwendet die IP-Adresse des ´Schummelknecht´, dessen Adresse steht also im SYN-Paket als Absender.
Der angegriffene Rechner denkt also, der ´Schummelknecht´ sei sein Kommunikationspartner. Vom Angreifer sieht er nichts. Also sendet er auch sein Antwortpaket an den ´Schummelknecht´. Das Antwortpaket besteht nun aus einem von zwei möglichen Paketen: Es ist entweder ein SYN/ACK (das bedeutet, der untersuchte Port ist geöffnet), oder es handelt sich um ein RST. In diesem Fall ist der Port also geschlossen.
Die Antwort landet aber natürlich beim .´Schummelknecht´.-Rechner, der Angreifer sieht diese Antwort also nicht. Stellt sich die Frage: Wie kommt er nun an die gewünschte Information? Dazu muss man sich nochmals die eingangs erwähnten Zusammenhänge in Erinnerung rufen: Erhält ein Rechner ein Paket mit dem er nichts anfangen kann, sendet er ein RST-Paket zurück.
Nun ist es so, das der ´Schummelknecht´ Rechner entweder ein RST erhält (Port beim angegriffenen Rechner ist geschlossen) oder aber ein SYN/ACK. Auf das RST-Paket muss der ´Schummelknecht´ nicht weiter reagieren, und tut das auch nicht. Das SYN/ACK Paket .verwirrt. den ´Schummelknecht´ Rechner: Schließlich bestätigt hier ein anderer Rechner die Bitte um Verbindungsaufnahme. Der ´Schummelknecht´ hat aber gar keine Verbindung aufnehmen wollen - das Paket kam halt per gefälschter Adresse vom Angreifer.
Also kann der ´Schummelknecht´ gar nicht anders als auf das SYN/ACK zu reagieren, indem er ein RST-Paket an den angegriffenen sendet. Der ´Schummelknecht´-Rechner versendet also ein Paket wenn beim angegriffenen ein offener Port vorliegt und kein Paket wenn beim angegriffenen ein geschlossener Port vorliegt. Das bedeutet, das nach dieser Aktion die IP-ID beim ´Schummelknecht´ entweder um eines hochgezählt wurde, oder eben nicht.
Das ist auch dem Angreifer klar: Er sendet also ein SYN an den ´Schummelknecht´ und erhält von diesem ein RST mit dessen aktueller IP-ID. Ist diese nur um eins höher als die ursprüngliche, dann ist der untersuchte Port auf dem gescannten Rechner geschlossen, ist die IP-ID um zwei höher, dann ist der Port geöffnet.
Auf diese Weise erhält also der Angreifer seine Informationen über den angegriffenen, ganz ohne das dieser jemals die IP des Angreifers erhält.
Was hat das nun alles mit dem anonymen surfen zu tun? Die Antwort auf diese Frage findet sich im Verfahren des Angreifers: Dieser fälscht seine IP-Adresse. Er tut also genau das, was sich viele Surfer irrtümlich wünschen. Die Konsequenz daraus ist aber, das die Antwortpakete von Rechnern die IP-Pakete mit gefälschten Absender-Adressen erhalten eben an den Rechner gehen, der auch tatsächlich diese IP-Adresse hat. Mit anderen Worten: Fälscht man seine Absender-Adresse, dann erhält man keine Antwortpakete.
FAZIT:
Mit gefälschter IP-Adresse kann man also keine Informationen aus dem Internet abrufen - denn die normale fürs surfen benötigte Kommunikation ist dann nicht möglich.
__________________
Erst wenn das letzte Feuerwehrfahrzeug eingespart,
der letzte Arbeitsplatz am Ort ins Ausland abgewandert ist,
werdet ihr euch bewusst werden,
dass man mit Geld allein ein Feuer nicht löschen kann.
|
|
24.03.2008 12:40 |
|
|
|
Views heute: 68.746 | Views gestern: 233.587 | Views gesamt: 109.281.881
 
www.retter-radio.de
Musik nicht nur für Alltagsretter
Wir retten Euch aus dem Alltag und löschen Eure schlechte Laune
Impressum
|
|
|