Krautkanal.com

Veröffentlicht am 2015-02-25 23:33:03 in /prog/

/prog/ 6710: Komplett sicher durch IP Spoofing?

davidtoltesy Avatar
davidtoltesy:#6710

Hallo,
angenommen man würde einen Server durch ein Syn-Flood zum Absturz bringen, könnte man als Angreifer lokalisiert werden, obwohl man für jedes Paket eine zufällige IP-Adresse generiert hat? Stellt die Mac-Adresse eine Bedrohung dar, oder wird man an der Menge der Pakete, die der Router verschickt enttarnt?
Würde mich mal interessieren, wie sicher man durch IP-Spoofing ist.

creartinc Avatar
creartinc:#6711

Deine Mac wird nur bis zum nächsten Router übertragen und über die Ulk-IP bist du nicht zu finden. Aber wahrscheinlich hat dein Anbieter besseres zu tun als dich Pakete verschicken zu lassen, die offensichtlich nicht von dir sind. Moderne Kerne können so etwas auch eimfach verwerfen.

sketi_ndlela Avatar
sketi_ndlela:#6713

>>6710
Nur weil deine IP nicht im Header steht, heißt es nicht, dass man nicht auch auf anderem Wege den Ursprung deiner Pakete zurückverfolgen kann. Stichwort: IP traceback

>>6711
>Aber wahrscheinlich hat dein Anbieter besseres zu tun als dich Pakete verschicken zu lassen, die offensichtlich nicht von dir sind.
Der Anbieter wird nicht kehren, weil er zur Optimierung des Durchsatzes Fast-Switching betreibt und das Filtern nach Quell-IP nur unnötigen Overhead darstellt.

garand Avatar
garand:#6715

Muss mir das mal anschauen :D

darcystonge Avatar
darcystonge:#6717

>>6713
>Der Anbieter wird nicht kehren, weil er zur Optimierung des Durchsatzes Fast-Switching betreibt und das Filtern nach Quell-IP nur unnötigen Overhead darstellt.
Doch, die Anbieter kehren. Und die meisten lassen IP Spoofing mittlerweile zum Glück nicht mehr zu.
Wird zum Beispiel häufig bei DDOS Angriffen benutzt. Siehe DNS Amplifikations Attacke.

tereshenkov Avatar
tereshenkov:#6721

>>6713
> IP traceback
Weniger Hackerfilme gucken.

Es gibt genau einen Weg, dass man dich bekommt: Dein Provider zeichnet auf, welcher Anschluss das Paket verschickt hat.

Es gibt einen Weg, dass es sowieso nichts wird: Irgendein Router in der Kette wirft Pakete weg die eine Sourceip haben, die von diesem Interface nicht kommen dürfte.

Auch sollten moderne Systeme sicher sein gegen SYN-Flooding. Bitte lies keine Hackerbibeln von vor 10 Jahren.

ripplemdk Avatar
ripplemdk:#6731

>>6721
>Es gibt einen Weg, dass es sowieso nichts wird: Irgendein Router in der Kette wirft Pakete weg die eine Sourceip haben, die von diesem Interface nicht kommen dürfte.
Es gibt weiterhin so einige Netze, die keine Egressfilterung machen. Beispielsweise Ecatel. Sonst gäbe es keine IP-Spoofing-basierten DDoS-Angriffe mehr.

csswizardry Avatar
csswizardry:#6749

>>6731
Und der nächste Router lässt von denen alles durch? Hätte jetzt gedacht heute wird auch vom Peeringpartner genauer gefiltert was von ihm kommen kann mit den aktuellen Routen.

kazukichi_0914 Avatar
kazukichi_0914:#6773

>>6749
Offensichtlich ist das wohl so. Wie ich sagte: Wenn es keine Netze mehr gäbe, die gespooften Traffic durchleiten, wären DDoS-Angriffe, die zentral auf IP-Spoofing beruhen (hauptsächlich DNS-Amplification) ausgestorben. Sie machen aber immer noch Schlagzeilen.

Neuste Fäden in diesem Brett: