hacker verwenden portscanner um an eine IP heranzukommen? was sind portscanner?

[Luk4s-320]

Moin,

Ich habe wieder etwas über das Thema nachgedacht und habe wieder etwas herausgefunden und möchte wissen, ob das hier möglich ist:

Folgende Situation:
Ich bin an meinem Rechner und surfe auf computerbase.de

Könnte ein Hacker seine IP-Adresse auf die gleiche IP-Adresse ändern, die ComputerBase.de auch hat?
Dann könnte nämlich der Hacker ein Paket zu meiner IP-Adresse senden, an den Port, über den ich mit computerbase.de schon Daten austausche und dann würde mein Router das Paket durchlassen, da gerade ein Rechner im Netz von dieser IP-Adresse und über diesen Port Daten anfordert.

Wäre das möglich, oder ist das totaler Schwachsinn?

Wenn das nicht funktionieren würde, warum? Wo würde es Probleme geben?


Na gut, diese ganze Sache ist sowieso schon fast unmöglich, da der Angreifer ja gar nicht weiß, ob ich mit computerbase.de Daten austausche, oder über welchen Port die ganze Sache geht, aber ich möchte wissen, ob das rein theoretisch möglich ist.

 

[smuper]

Nein, das ist nicht möglich.

 

[chrigu]

nein kann er nicht, ausser er hat dein pc manipuliert (phishing, trojaner... usw) nur so kann er jede adresse auf sein server umleiten.

 

[entropie88]

nein kann er nicht, ausser er hat dein pc manipuliert (phishing, trojaner... usw) nur so kann er jede adresse auf sein server umleiten.

http://www.heise.de/newsticker/meld...C-als-Werbeschleuder-missbraucht-2111501.html
gehackter dns oder man in the middle.

http://nmap.org/

Scan mal deinen Router/Laptop wirst geschockt sein was da alles offen ist.

PS: Da CB nicht verschlüsselt ist kann jeder mit einem Konten in der Mitte sehr einfach auch falsche Dinge ausliefern.

 

[smuper]

Scan mal deinen Router/Laptop wirst geschockt sein was da alles offen ist.

Was soll da jetzt genau offen sein?

 

[entropie88]

Was soll da jetzt genau offen sein?

Ja Ports natürlich, dropbox zb macht einen auf und so geht's weiter.

 

[Luk4s-320]

jeder mit einem Konten in
der Mitte kann sehr einfach auch
falsche Dinge ausliefern?

was ist ein Konten?


und nur weil ports offen sind, heißt es ja nicht, dass ich dadurch ungeschützter bin. schließt der router nicht sowieso ports, wenn sie nicht verwendet werden?

aber was ist daran schlimm, dass ports offen sind?

solange kein Paket angefordert wird, lässt der router es auch nicht durch, außer ich hätte ports geforwardet, aber da ist ja nicht der fall.





jetzt aber noch zu meiner frage mit dem IP fälschen:

warum ist das denn nicht möglich, was ich in meinem vorherigen Post geschrieben habe?

@Sebbi, was sagst du eigentlich zu diesem Thema?

 

[Sebbi]

@entropie88

mit nmap ansich kannst im nur Lokal scannen, wenn du damit im Inet scannst,mach du dich strafbar. Wenn du von ausen einen Router scanner willst, solltest das nehmen: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Is zwar aufwendig aber naja.

Außerdem darfst du nie die LAN seite mit der WAN Seite vom Router verwechseln. Übrigend gefilerte oder geschlossene Ports stellen keine Gefahr dar. Und solange du kein Portforwarding machst, sollten alle Ports von außen so aussehen, außer es ist Fernwartung oder so was aktiviert / zwangsaktiviert, so das der Router auf eingehende Verbindungen wartet.

Ja Ports natürlich, dropbox zb macht einen auf und so geht's weiter.

ja und blockiert damit diesen Port für andere Verbindungen, außer der Hacker greift direkt das Programm an, was aber idR nicht der Fall ist.

@Luk4s-320

ja man könnte von der theorie her 2 Server die gleiche IP haben. Aber dann würde es zu Kollisionen geben und das würde aufmerksamkeit erregen und Fehler auslösen im Routing usw.

Das hättest du aber auch selbst rausgefunden, wenn du dich in IP eingelesen hättest Wie gesagt, das hier ist eigentlich so meistens Basisgrundstoff in der Internetkommunikation / IP Kommunikation / Addressierung.

und nur weil ports offen sind, heißt es ja nicht, dass ich dadurch ungeschützter bin. schließt der router nicht sowieso ports, wenn sie nicht verwendet werden?

solange kein Dienst auf den Router an dem lauscht oder Portforwarding gemacht wird, wird dieser gefiltert oder geschlossen.

jeder mit einem Konten in der Mitte kann sehr einfach auch falsche Dinge ausliefern?

bei unverschlüsselten Verbindungen ja, da kann man live den inhalt der Daten verändern. Man in the Middle eben ...

 

[entropie88]

@entropie88
ja und blockiert damit diesen Port für andere Verbindungen, außer der Hacker greift direkt das Programm an, was aber idR nicht der Fall ist.

Ich habe eigentlich die Erfahrung gemacht dass häufig metasploit eingesetzt wird. Sollte die DropBox einen ZeroDay haben der in der DB ist gehen beim Attacker die root shells auf.

 

[Sebbi]

Ich habe eigentlich die Erfahrung gemacht dass häufig metasploit eingesetzt wird. Sollte die DropBox einen ZeroDay haben der in der DB ist gehen beim Attacker die root shells auf.

das ist dann eher n ein Problem, wobei Dropbox normal mit reinen Userprivilegien laufen sollte (habs noch nicht ausprobiert, da ich meine Daten eh keiner Cloud anvertrau stc.). Zumindest kann damit nur das Userkonto komprimitiert werden.
Allerdings ist es gerade darum wichtig die Software immer auf den neusten Stand zu halten. Außerdem würde ich auch nie so ne Software dauerhaft offen halten, sondern nur just in time.

 

[Lemon with Ice]

Das einzige was mir mal passiert ist das ich andauernd mit Loop bombadiert wurde und das dadurch der Seitenaufbau im Web extrem gestört gewesen ist. Der Server der dafür verantwortlich gewesen ist stand meistens in Holland. Ich hab dann UPnP im Router deaktiviert und habe nun Ruhe.

Das hier war übrigens der Übeltäter Ecatel LTD

http://www.abuseipdb.com/report-history/94.102.56.157
http://www.abuseipdb.com/report-history/94.102.52.171

 

[Luk4s-320]

Moin,

Ich bin heute auf den IP-Spoofing Artikel von Wikipedia gestoßen:http://de.wikipedia.org/wiki/IP-Spoofing


Ich bin jetzt aber etwas verunsichert und habe noch ein paar Fragen.


z.b hier zu

Paketfilter sind eine mögliche Gegenmaßnahme gegen IP-Spoofing. Das Gateway zu einem Netzwerk sollte eine eingehende Filterung vornehmen: Von außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen. Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann.

heißt das, dass ein Angreifer die Absender IP-Adresse des Paketes auf eine IP-Adresse fälschen kann, die in meinem internen Netzwerk vergeben ist, sodass der Router die Pakete durchlassen würde, weil die Pakete ja angeblich von einem Rechner im internen Netzwerk kommt. Denn was im internen Netzwerk rumgeschickt wird, interessiert NAT ja nicht, oder ist das hier wieder was anderes?

Ohne Probleme lässt sich IP-Spoofing bei Attacken nach dem Schema von Distributed Denial of Service, wie mit SYN-Flood oder DNS Amplification Attack verwenden. Als Quelladresse wird dabei das angegriffene Ziel angegeben, welches dann mit - von ihm nicht angeforderten und damit sinnlosen - Antworten überflutet wird.

Das verstehe ich nicht. Die Absener IP-Adresse wird auf die IP-Adresse des Opfers gefälscht? Sodass das Opfer die Pakete an sich selbst schickt? Ich steig da nicht durch .



@Sebbi, kannst du mir dieses IP-Spoofing vielleicht etwas erklären, denn ich verstehe dieses IP-Spoofing in Kombination mit DoS Angriffen usw. nicht.

Ist IP-Spoofing eigentlich auch wirklich etwas bedrohliches für den Privatanwender, wenn man keinen Server betreibt?



Und nein, ich will das ganze Zeug nicht wissen, weil ich da später auch Lust zu hätte. Ne, auf kriminelle Sachen stehe ich nicht so . Ich möchte einfach nur erfahren, was für Möglichkeiten die Hacker haben und wie sicher ich dann bin.

 

[Sebbi]

nein, das heißt lediglich, das er die Herkunft der IP Paktet verschleiert und so sicher ist, das er nicht bei nen DDoS selbst ins Visir der Ermittlungen gerät, da seine IP nicht bekannt ist.

Beispiel:


Dummes Scriptkiddy sendet DNS Anfrage mit 100 Byte Größe an einen DNS Server und gibt dabei als Absende IP die des Opfer an. Die DNS Antwort von DNS Server beträgt aber sagen wir 900 Byte ..... Da das Dumme Scriptkiddy aber die IP vom Opfer angegeben hat, wird das Packet zum Opfer gesendet und raubt dem Bandbreite.

Sprich das Dumme Scriptkiddy kann das 9fache seiner Uploadbandbreite beim Opfer im Download belegen und so den seinen Anschluss sogar lahmlegen. Da vom Dummen Scriptkiddy aber nicht die IP bekannt ist, kann das auch leider nicht ermittelt und grün und blau geschlagen werden (was ich persönlich sehr schade finde)

Weiterhin:
es ist sehr schwierig ohne MitM in laufenden Kommunikation eingreifen, da man die Sequenznummer der aktuell übertragenen Pakete ohne MitM erst im Nachhinein ermittelt werden kann, wenn es zu spät ist.

 

[mensch183]

@Sebbi, kannst du mir dieses IP-Spoofing vielleicht etwas erklären, denn ich verstehe dieses IP-Spoofing in Kombination mit DoS Angriffen usw. nicht.

Ganz einfach: Angenommen du betreibst einen Server auf 1.1.1.1 oder zockst auf dem Rechner mit der 1.1.1. 1 ein Onlinespiel oder machst irgendwas anderes, wozu du Internetzugang benötigst. Ich kann dich nicht leiden. Ich sitze an Rechner 2.2.2.2 und will dir schaden, indem ich deine Leitung ins Internet mit Paketen so zumülle, daß da kein Durchkommen mehr für die Sachen ist, die du eigentlich machen möchtest. Wie mache ich das?

Ich sende z.B. ganz viele kleine DNS-Anfagen an viele verschiedene Nameserver und frage diese Server dabei nach etwas, was schön große Antwortpakete an mich zurückschickt. Eigenlich landen diese vielen Antworten bei mir, wenn ich brav meine 2.2.2.2 als Absender der Anfragen eintrage. Ich trage da aber 1.1.1.1 ein, also dich. Damit bekomme nicht ich sondern du die ganzen Antworten und deine Leitung ist so verstopft, daß du nichts mehr im Netz machen kannst. Betreibst du auf 1.1.1.1 einen Webserver, ist dieser Dienst durch die Paketflut kaltgestellt, was man DoS (denial of service) nennt.

Den Trick mit dem Eintragen der falschen Absenderadresse nennt man "spoofen". Man gibts sich einem Gegenüber (in dem Fall den DNS-Servern) als jemand anderes aus.

Wenn du den verlinkten Wikipedia.Artikel zu IP-Spoofing nicht verstehst, liegt das wahrscheinlich daran, daß du von IP keine Ahnung hast. Auch da hilft Wikipedia weiter ...

 

[Luk4s-320]

es ist sehr schwierig ohne MitM in laufenden Kommunikation eingreifen, da man die Sequenznummer der aktuell übertragenen Pakete ohne MitM erst im Nachhinein ermittelt werden kann, wenn es zu spät ist.

aber welche Netzwerkprotokolle verwenden so etwas? Welche Netzwerkprotokolle werden denn meistens verwendet z.b. wenn ich im Internet mit meinem Browser surfe oder z.b. Battlefield 3 online spiele, oder was weiß ich? Verwenden denn fast alle Netzprotokolle so eine Sequenznummer?



Wie ist das denn nun, wenn der Angreifer die Absender IP-Adresse auf eine IP-Adresse fälscht, die bei mir im internen Netzwerk vergeben ist? Lässt der Router das Paket durch, weil es ja angeblich im internenen Netzwerk rumgeschickt wird? Denn was intern rumgeschickt wird, interessiert NAT ja nicht und somit muss ein Paket ja auch nicht angefordert sein. Oder merkt der Router, dass das Paket von außen kommt und er lässt es somit nicht durch?


Ich habe mir noch etwas ausgedacht. Ist wohl der totale Schwachsinn, aber mich würde wohl interessieren, was dann passiert Also ein Angreifer sendet ein Paket an meine IP-Adresse mit einer gefälschten Absender IP. Diese gefälschte Absender IP ist aber die Gleiche, die mein Router verwendet. Also ein Paket wird von IP 1.1.1.1(gefälscht) zu IP 1.1.1.1 geschickt. Ist ja das gleiche, wie du im Beispiel beschrieben hast, nur werden die Pakete an keinen Server geschickt, sondern an einen Privatanwender, der keine Ports geforwardet hat oder sonstiges. Halt ein normaler Privatanwender, der einen NAT-Router verwendet. Was macht der Router nun? Verwirft er das Paket einfach,weil er es nicht angefordert hat? Aber es kommt ja angeblich von ihm selbst.... Würde mich mal interessieren, was der Router macht
Ich habe ja schon mal hier geschrieben, dass mir mein Mathelehrer auch versucht hat, mir dieses Thema zu erklären. Ich habe dir dann ja geschrieben, was er mir gesagt hat und darauf meintest du:

Dein Mathelehrer hat dir da aber gefährliches Halbwissen beigebracht....

Warum gefährliches Halbwissen?

 

[Daaron]

aber welche Netzwerkprotokolle verwenden so etwas? Welche Netzwerkprotokolle werden denn meistens verwendet z.b. wenn ich im Internet mit meinem Browser surfe oder z.b. Battlefield 3 online spiele, oder was weiß ich? Verwenden denn fast alle Netzprotokolle so eine Sequenznummer?

Quasi ALLES was du machst, läuft über TCP, und selbiges ist nicht verwundbar gegen Spoofing. Nur einige wenige UDP-Dienste (wie z.B. DNS) kann man spoofen.
Hör einfach auf, immer Panik zu schieben. Ein gesunder Respekt vor Cyber-Bedrohungen ist ja schön und gut, aber du übertreibst es maßlos.

Wie ist das denn nun, wenn der Angreifer die Absender IP-Adresse auf eine IP-Adresse fälscht, die bei mir im internen Netzwerk vergeben ist?

Kann er nicht, PUNKT. Jenseits deines Routers ist nur deine EXTERNE IP bekannt, NIEMALS deine interne... warum? Weil deine interne keinerlei Bedeutung außerhalb deines Netzes hat.

 

[Sebbi]

Was macht der Router nun? Verwirft er das Paket einfach,weil er es nicht angefordert hat?

Absendeadresse = Empfangsadresse -> Wenn das ein Datenpaket ist, ist es Fehlerhaft, Packet wird verworfen.

Warum gefährliches Halbwissen?

weil du dich
1. so gut wie gar nicht mit der Materie auskennst um das begreifen, was überhaupt möglich ist und was nicht.
2. seine aussagen nicht wirklich stimmen!

Er meinte auch, dass von meinem PC bis zum Internetanbieter gar keine IP's vorkommen oder verwendet werden. Ich glaube auch, dass er sagte, mein Router auch gar nicht die IP weiß, die das PAket kriegen soll. Dies würde dann alles diese Internet Backbone Station regeln.

was totaler Schwachsinn ist

3. er hat dir den Weg von DEINER DNS auflösung geschrieben, jetzt ging es aber darum, das ein Cracker dir deine Bandbreite mit sinnlosen DNS Anfragen vollmüllt, die eh verworfen werden weil du sie nicht angefordert hast.

Ich habe dir nicht umsonst gesagt, wenn du dich wirklich dafür interessiert, dann befasse dich intensiv mit der IP Kommunikation, Routing, TCP/IP, OSI - Modell, IP Addressierung, Aufbau von Datenpaketen, Internetprotokolle, UDP, NAT

hättest du das nämlich gemacht, wärst du den ich mal alleine auf die antwort gekommen, das so ein Paket mit gleicher absende und empfangsadresse einfach verworfen wird.

Edit:

nur mal so zum veranschaulichen, übrigens auch für deinen Mathelehrer, wie ein Paket im Internet aussieht:



soviel auch zum Thema, die MAC spielt keine rolle bei der Internetkommunikation ... denn ohne diese könnten die Pakete gar nicht zwischen den einzelnen Stationen hin und her geschickt werden.

 

[Luk4s-320]

Hör einfach auf, immer Panik zu schieben. Ein gesunder Respekt vor Cyber-Bedrohungen ist ja schön und gut, aber du übertreibst es maßlos.

ich schiebe hier keine Panik. Ich möchte einfach wissen, was so möglich ist. Natürlich mache ich mir bei bestimmten Sachen Sorgen, aber das hier ist einfach nur aus Neugier. Natürlich weiß ich, dass ich uninteressant für Hacker bin.


Die Sache mit dem internen Netzwerk haste aber jetzt etwas falsch verstanden.

Ergänzung (24. Februar 2014)

Ich weiß wohl, dass die interne IP nicht bekannt ist. Ich habe mir hier einfach etwas ausgedacht oder sowas ähnliches meine ich aus dem Wikipedia Artikel gelesen zu haben.


Ich meine nur, dass er die Absender IP auf eine in meinem internen Netzwerk vergebene IP fälscht. Die mag er wohl nicht kennen, aber meist nennen die sich ja z.b 192.168.178.23 oder 192.168.1.2 oder so ähnlich und er könnte damit rechnen, dass so eine vielleicht vergeben ist. Stell dir mal vor, dass so eine IP im internen Netzwerk vergeben ist und ein Paket aus dem Internet mit dieser Absender IP kommt. Also hat er diese IP zufällig ausgewählt und hofft, dass die Gleiche ja vielleicht im Netzwerk vergeben ist. Was würde Der Router denn jetzt machen? Denn die IP kommt aus dem internen Netzwerk, kommt aber aus dem internet...


Und nein, ich mache mir jetzt keine Sorgen um meine Sicherheit im Internet. Ich möchte einfach nur wissen, was passiert, einfach nur aus Neugier.




@Sebbi, du hast ja Recht mit dem nachlesen von dem ganzen Zeug, aber ich habe leider in letzter Zeit nicht so viel Lust dazu. Ja gut, ich kann ja gut vertstehen, dass es nervig für dich ist, mir ständig solche Fragen zu beantworten, wenn ich das sowieso nachlesen könnte. Ich will mich aber in nächster Zeit etwas mehr darüber informieren.

 

[Daaron]

Ich meine nur, dass er die Absender IP auf eine in meinem internen Netzwerk vergebene IP fälscht.

Geht nicht, und genau das wollte ich dir klar machen als ich sagte: IPs deines internen Subnets haben außerhalb dieses Subnets keine Bedeutung... bzw. eine gänzlich andere.
Ein Router trennt Subnets. RIGOROS!

Stell dir mal vor, dass so eine IP im internen Netzwerk vergeben ist und ein Paket aus dem Internet mit dieser Absender IP kommt.

Geht nicht, kann nciht passieren, ist nicht machbar. Ende.
IP Spoofing funktioniert nur bei UDP, und selbst da ist das nicht möglich, was du hier beschreibst. Lies die Wikipedia-Artikel zu TCP, UDP, IP, dem OSI-Modell.... Ich denke außerdem, der passende Tanenbaum sollte viele Fragen im Keim ersticken.

 

[Sebbi]

@Sebbi, du hast ja Recht mit dem nachlesen von dem ganzen Zeug, aber ich habe leider in letzter Zeit nicht so viel Lust dazu. Ja gut, ich kann ja gut vertstehen, dass es nervig für dich ist, mir ständig solche Fragen zu beantworten, wenn ich das sowieso nachlesen könnte. Ich will mich aber in nächster Zeit etwas mehr darüber informieren.

das einzig nervige ist daran eigentlich, das eben genau diese Fragen die du stellt sich von selbst beantworten würden, wenn du dich in das Thema einlesen würdest. Sonstige Verständnissfragen kann man gerne beantworten, gerade z.B. mit dem Spoofing

Was würde Der Router denn jetzt machen? Denn die IP kommt aus dem internen Netzwerk, kommt aber aus dem internet...

verwerfen, weil ankommenden Pakete als Absender eine IP aus einen öffentlichen IP Bereich haben müssen, da IP aus den privaten IP bereichen nicht geroutet werden. ... wobei das Paket villeicht sogar schon eher aussortiert werden könnte wenn Paketfilter auf der Route mitlaufen