PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Krypsis: IP-spoofing und ports



samsara
03-09-2003, 14:58
Hallo nochmal!

Fange an, mich maechtig fuers Verschluesseln und Steganographieren zu interessieren, bin aber noch total neu dabei. Folgende zwei Ideen:

1) Wenn mir IP-Adressen bekannt sind, die nicht genutzt werden, koennte ich an einen bestimmten Empfaenger Pakete verschicken, die als Absender diese ungenutzten IP-Adressen tragen, und anhand der Reihenfolge dieser Pakete eine Nachricht codieren.

Beispiel: Wenn ich Pakete mit Sender-IP xxx.xxx.xxx.xxx und yyy.yyy.yyy.yyy verschicke, kann ich damit Binaercode imitieren, wenn ich sechzehn freie IPs kenne, Hexadezimal etc.

2) Gleiches gilt doch fuer Ports: Wenn ich weiss, dass beim Empfaenger ein Decodierprogramm die Ports X und Y abhoert, kann ich ihm Pakete schicken, die an die zwei Ports adressiert sind, entsprechend dem Binaercode, oder bei Verwendung von z.B. 16 Ports, Hexadezimal! XYXXYYXYXXXXXX :)


Ich denke mal, dass da schon jemand drauf gekommen ist. Gibt's dazu schon Utilities?

Gruss,

Samsara

anda_skoa
03-09-2003, 15:07
Du musst bei sowas mit ziemlich eindeutigen Sequenznummern arbeiten, weil die Reihenfolge von Paketen nicht deterministisch ist.

Es gibt auch die Idee, Daten über ICMP Pakete (zb ping) zu übertragen.

Ich glaube eher nicht, dass es dafür Tools gibt, die Datenrate ist für halbwegs ernsthafte Untersuchungen zu gering.

Ciao,
_

samsara
03-09-2003, 15:19
Original geschrieben von anda_skoa
Du musst bei sowas mit ziemlich eindeutigen Sequenznummern arbeiten, weil die Reihenfolge von Paketen nicht deterministisch ist.
Du hast recht. Die Versendezeit wird ja nicht festgehalten. Humff.

Es gibt auch die Idee, Daten über ICMP Pakete (zb ping) zu übertragen.
Da werde ich mal schauen.

Ich glaube eher nicht, dass es dafür Tools gibt, die Datenrate ist für halbwegs ernsthafte Untersuchungen zu gering.
Die Befuerchtung hatte ich :(

Okay, danke!

Samsara

kehj
03-09-2003, 15:45
Was die Sache auch noch schwierig macht, ist, daß die Pakete nur begrenzt geroutet werden. Wenn sie an einen Router kommen, der für das Netzwerk zuständig ist, an das sie adressiert sind, wird er sie u. U. verwerfen.
Dein Empfänger muß außerdem irgendwo "dazwischen" sitzen, um von den Paketen was mitzukriegen. Und um die richtigen Pakete (und damit die Nachricht) ausfiltern zu können, mußt du dem Empfänger mitteilen, nach welcher IP (etc) er Ausschau halten muß. Wie überträgst du diese Informationen? Dann kannst du auch gleich die eigentliche Nachricht verschlüsseln und rüberschicken...

samsara
03-09-2003, 16:33
Original geschrieben von kehj
Dann kannst du auch gleich die eigentliche Nachricht verschlüsseln und rüberschicken...
Ich sag' mal so, wenn ich wirklich etwas supergeheimes verschicken will, moechte ich nicht, dass von vornherein dransteht "hier ist etwas verschluesseltes drin", dann dann kann ein Spion anfangen, die Sache zu entschluesseln. Mit brute force dauert das zwar moeglicherweise ein paar Tage, aber letztendlich kommt er drauf. Wenn er nicht weiss, dass die Nachricht ueberhaupt existiert, keine Chance. Existenzgrund der Steganographie. Man vermutet, dass Al Quaida auch Steganographie nutzte. In Zeiten, in denen Versammlungsfreiheit und Briefgeheimnis immer weiter eingeschraenkt werden (man weiss ja, dass das CIA Zugang zu unseren emails, Telefonaten und Flugticketdaten hat), moechte man eben eine Waffe im Schrank haben. Deshalb haben die Amis ja immer noch Ballermaenner zum freien Verkauf. Sie vertrauen ihrer Regierung nicht. Das steht meiner Meinung nach jedem frei, aber genug davon...

Ein zweiter Ansatz, den ich verfolge, ist eine Nachricht so zu codieren, dass sie mit einer low-level Entschluesselung einen (Un)Sinn gibt, mit einer high-level Entschluesselung einen zweiten Sinn, der die eigentliche Nachricht enthaelt. Wird mit Sicherheit "computationally intensive", was mir da vorschwebt, aber moeglicherweise eine lohnende Herausforderung...


Und um die richtigen Pakete (und damit die Nachricht) ausfiltern zu können, mußt du dem Empfänger mitteilen, nach welcher IP (etc) er Ausschau halten muß. Wie überträgst du diese Informationen?
Moeglicherweise nicht per email ;)

Was die Sache auch noch schwierig macht, ist, daß die Pakete nur begrenzt geroutet werden. Wenn sie an einen Router kommen, der für das Netzwerk zuständig ist, an das sie adressiert sind, wird er sie u. U. verwerfen.
Ich bin nicht sicher, dass ich Dich richtig verstehe: Werden Pakete von nichtexistenten IP-Adressen automatisch herausgefiltert?

Dein Empfänger muß außerdem irgendwo "dazwischen" sitzen, um von den Paketen was mitzukriegen.
Sorry, ich bin was IP etc. angeht, echt ein Anfaenger - was meinst Du mit "dazwischen"?

Danke,

Samsara

kehj
03-09-2003, 19:20
Original geschrieben von samsara
[B]Mit brute force dauert das zwar moeglicherweise ein paar Tage, aber letztendlich kommt er drauf.


Na ja, angenommen du nimmt DES. Dann dauert "ein paar Tage" 39 Tage. Vorausgesetzt, du hast 50.000 Prozessoren zur Verfügung (RSA Challenge 98)
Wenn dir das zu unsicher ist, nimm AES, IDEA oder TrippleDES



Man vermutet, dass Al Quaida auch Steganographie nutzte. In Zeiten, in denen Versammlungsfreiheit und Briefgeheimnis immer weiter eingeschraenkt werden (man weiss ja, dass das CIA Zugang zu unseren emails, Telefonaten und Flugticketdaten hat), moechte man eben eine Waffe im Schrank haben. Deshalb haben die Amis ja immer noch Ballermaenner zum freien Verkauf. Sie vertrauen ihrer Regierung nicht.


Das meinst du jetzt nicht ernst, oder?



Ich bin nicht sicher, dass ich Dich richtig verstehe: Werden Pakete von nichtexistenten IP-Adressen automatisch herausgefiltert?

Sorry, ich bin was IP etc. angeht, echt ein Anfaenger - was meinst Du mit "dazwischen"?


Nun, ich hab mich wohl falsch ausgedrückt (oder 'n falschen Gedanken gehabt).
Fakt ist aber, daß du prinzipiell im selben Netz sitzen must, wie die nicht vorhandenen IPs. Auf jeden Fall aber auf dem Weg, den die Pakete nehmen und der variiert. Sonst wirst du die Pakete nicht sehen können...
Lies dich einfach ein wenig ins IP-Routing ein, bevor du anfängst zu programmieren. Und laß mich bitte wissen, was aus dem Programm geworden ist...

Viel Spaß beim Programmieren! ;)

samsara
04-09-2003, 00:45
Original geschrieben von kehj
Na ja, angenommen du nimmt DES. Dann dauert "ein paar Tage" 39 Tage. Vorausgesetzt, du hast 50.000 Prozessoren zur Verfügung (RSA Challenge 98)
Wenn dir das zu unsicher ist, nimm AES, IDEA oder TrippleDES
Danke fuer diesen kleinen Ueberblick. Ist immer gut, wenn man weiss, wie das heisst, wonach man sucht. :)

Das meinst du jetzt nicht ernst, oder?
Was genau? Dass ich eine Waffe im Schrank haben will, meinte ich metaphorisch: die Verschluesselung ist meine Waffe. Damit laesst sich notfalls ein Widerstand organisieren. Dass jetzt nicht der Eindruck entsteht, ich sei Anarchist! Aber falls sich das dritte Reich wiederholen sollte, bin ich zu jedem gut durchdachten und organisierten Widerstand bereit!

Fakt ist aber, daß du prinzipiell im selben Netz sitzen must, wie die nicht vorhandenen IPs.
Bei Gibson Research las ich, dass genau dies nicht der Fall ist... dass die meisten Provider immer noch Pakete von beliebigen IP-Adressen, ob nun im Subnetz resident oder nicht, in die freie Wildbahn entlassen. War diese Info veraltet?

Lies dich einfach ein wenig ins IP-Routing ein, bevor du anfängst zu programmieren. Und laß mich bitte wissen, was aus dem Programm geworden ist...
Ja klar, wenn es dazu kommt :)

Gruss,

Samsara

kehj
04-09-2003, 10:12
Original geschrieben von samsara

Bei Gibson Research las ich, dass genau dies nicht der Fall ist... dass die meisten Provider immer noch Pakete von beliebigen IP-Adressen, ob nun im Subnetz resident oder nicht, in die freie Wildbahn entlassen. War diese Info veraltet?


Nicht das ich wüßte, ich meine auch was anderes:
IP-Routine ganz schnell und simpel (hoffe ich zumindestens) ;)

Stell dir vor, du verschickst viele Briefe an die selbe Adresse.
Du bringst sie also nacheinander zum Briefkasten vor deinem Haus. (Pakete werden ja sequentiell verschickt)
Die Post holt sie ab und bringt sie zum lokalen Postamt um die Ecke.

Wichig: Bis jetzt nehmen alle Briefe denselben Weg.

Ab jetzt geht's wild zu: die Briefe werden alle grob in Richtung Ziel losgeschickt. Dabei ist nicht festgelegt, welchen Weg sie genau nehmen.
Zwei Briefe an dieselbe Adresse müssen also nicht denselben Weg nehmen. (Ob das bei der Post auch so ist?)

Irgendwann kommen die beim Postamt neben der Zieladresse an. Der Postbote läuft jetzt zur Adresse und stellt fest, daß es sie nicht gibt. Er schickt eine Fehlermeldung zurück (falls nicht irgendwo geblockt).

Du willst jetzt irgendwo in die Briefe reingucken. Das kannst du aber nur an 2 Stellen machen: Dicht am Abender oder dicht am Empfänger, da du ja wissen mußt, welchen Weg die Briefe nehmen...

Ich hoffe mal, daß das einigermaßen verständlich war (und richtig dazu ;) )

samsara
04-09-2003, 16:47
Original geschrieben von kehj
Ab jetzt geht's wild zu: die Briefe werden alle grob in Richtung Ziel losgeschickt. Dabei ist nicht festgelegt, welchen Weg sie genau nehmen.
Zwei Briefe an dieselbe Adresse müssen also nicht denselben Weg nehmen. (Ob das bei der Post auch so ist?)

Wenn ich das richtig verstehe, waere das Problem aber geloest, sobald im Paket steht, wann es verschickt wurde, denn dann kann der Empfaenger die Briefe sortieren und die Nachricht lesen. Eine Datums- und Zeitangabe waere ja soweit unverdaechtig, was verschluesselte Nachrichten betrifft.

Gruss,

Samsara

kehj
04-09-2003, 18:18
Richtig, wenn du die Portnummern als Binärcode nimmst.

Wenn du aber Pakete an eine nicht-existente IP schickst, gibt es keinen Empfänger...

samsara
04-09-2003, 22:35
Original geschrieben von kehj
Richtig, wenn du die Portnummern als Binärcode nimmst.

Wenn du aber Pakete an eine nicht-existente IP schickst, gibt es keinen Empfänger...

Da haben wir jetzt seit etwa zehn posts aneinandervorbeigeredet! Tut mir leid. Ich will Pakete _von_ einer nichtexistenten IP schicken.

Sorry!

Samsara