|
| Tillader danske ISP falsk ip for udp? Fra : Jakob Nielsen |
Dato : 23-12-04 12:10 |
|
I teorien kan man sende data til en modtager uden at denne modtager kan se
hvor data kommer fra hvis man anvender en falsk ip.
For tcp er det ganske besværligt da der er sekvensnumre der skal passe
sammen og "handshake", men for udp er det jo trivielt.
Spørgsmålet er så om danske udbydere af internet tillader den slags? De har
jo muligheden for at sikre at afsender ip på de pakker de modtager fra deres
kunder, faktisk matcher den ip eller de iper, som kunden har.
Er der nogen her der ved hvilke mekanismer der kører for at forhindre falsk
afsenderip for udp?
| |
Asbjorn Hojmark (23-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 23-12-04 13:08 |
|
On Thu, 23 Dec 2004 12:10:23 +0100, "Jakob Nielsen" <a@b.c> wrote:
> Spørgsmålet er så om danske udbydere af internet tillader den slags? De
> har jo muligheden for at sikre at afsender ip på de pakker de modtager
> fra deres kunder, faktisk matcher den ip eller de iper, som kunden har.
Alle 'well-behaved' udbydere laver den slags filtrering. Jeg tror, man
skal til meget små steder, før de ikke har styr på noget så basalt.
-A
| |
Thomas Scholz (23-12-2004)
| Kommentar Fra : Thomas Scholz |
Dato : 23-12-04 13:19 |
|
Jakob Nielsen wrote:
> I teorien kan man sende data til en modtager uden at denne modtager kan se
> hvor data kommer fra hvis man anvender en falsk ip.
> For tcp er det ganske besværligt da der er sekvensnumre der skal passe
> sammen og "handshake", men for udp er det jo trivielt.
> Spørgsmålet er så om danske udbydere af internet tillader den slags? De har
> jo muligheden for at sikre at afsender ip på de pakker de modtager fra deres
> kunder, faktisk matcher den ip eller de iper, som kunden har.
>
> Er der nogen her der ved hvilke mekanismer der kører for at forhindre falsk
> afsenderip for udp?
>
Enhver respektable (sikkert også de andre :) ) ISP's laver filtrering på
al udgående traffik fra deres kunder. Det kan gøres direkte på
adgangspunkterne fra kunderne, eller på forbindelser til andre.
Dette burde ske alle steder, men har hørt om flere eksempler på
virksomheder hvor det er muligt at sende spoofede (pakker med falsk
afsender).
--
Thomas Scholz
| |
Jakob Nielsen (23-12-2004)
| Kommentar Fra : Jakob Nielsen |
Dato : 23-12-04 14:17 |
|
> Enhver respektable (sikkert også de andre :) ) ISP's laver filtrering på
> al udgående traffik fra deres kunder. Det kan gøres direkte på
> adgangspunkterne fra kunderne, eller på forbindelser til andre.
> Dette burde ske alle steder, men har hørt om flere eksempler på
> virksomheder hvor det er muligt at sende spoofede (pakker med falsk
> afsender).
Tak til dig og Asbjørn for svarene. Det er som jeg ventede.Spørgsmålet er så
hvordan filtreringen foregår.
Tester man ved forbindelsespunktet mod kunden om pakker derfra svarer til
kundens ip, fungerer man som router og omskriver pakken så rette ip er på,
eller tester man eventuelt kun om det er en ip i det interval som udbyderen
råder over? I sidste fald så kan man stadig forfalske til anden ip hos samme
udbyder.
| |
Asbjorn Hojmark (23-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 23-12-04 14:30 |
|
On Thu, 23 Dec 2004 14:17:20 +0100, "Jakob Nielsen" <a@b.c> wrote:
> Tester man ved forbindelsespunktet mod kunden om pakker derfra svarer til
> kundens ip, fungerer man som router og omskriver pakken så rette ip er på,
> eller tester man eventuelt kun om det er en ip i det interval som udbyderen
> råder over?
Der er flere forskellige teknikker i spil. Generelt kan man sige, at
'man checker om en pakke kommer derfra, hvor den skal', og hvis den
ikke gør, dropper man den.
-A
| |
Jakob Nielsen (23-12-2004)
| Kommentar Fra : Jakob Nielsen |
Dato : 23-12-04 14:55 |
|
> Der er flere forskellige teknikker i spil. Generelt kan man sige, at
> 'man checker om en pakke kommer derfra, hvor den skal', og hvis den
> ikke gør, dropper man den.
ja, men spørgsmålet er vel hvor det sker. man kan gøre det for hver enkelt
kunde, eller man kan gøre det for en pulje af kunder. Ved du at det gøres pr
enkelt kunde?
| |
Thomas Scholz (23-12-2004)
| Kommentar Fra : Thomas Scholz |
Dato : 23-12-04 15:01 |
|
Jakob Nielsen wrote:
>>Der er flere forskellige teknikker i spil. Generelt kan man sige, at
>>'man checker om en pakke kommer derfra, hvor den skal', og hvis den
>>ikke gør, dropper man den.
>
>
> ja, men spørgsmålet er vel hvor det sker. man kan gøre det for hver enkelt
> kunde, eller man kan gøre det for en pulje af kunder. Ved du at det gøres pr
> enkelt kunde?
>
>
Hvis de gør det ved kundens adgangspunkt, vil jeg nok tro de gør det for
en gruppe. Alt andet virker lidt besværligt. Men nu er jeg fx forbundet
med PPPoE, og der kunne det godt være de filtrer direkte på den enkelte
forbindelse.
Udover det, har de nok også netblock filtrer på alle router ud af deres
netværk, som kun tillader traffik fra netblokke som de vil kendes ved.
--
Thomas Scholz
| |
Asbjorn Hojmark (23-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 23-12-04 15:24 |
|
On Thu, 23 Dec 2004 14:55:28 +0100, "Jakob Nielsen" <a@b.c> wrote:
>> Der er flere forskellige teknikker i spil. Generelt kan man sige, at
>> 'man checker om en pakke kommer derfra, hvor den skal', og hvis den
>> ikke gør, dropper man den.
> ja, men spørgsmålet er vel hvor det sker. man kan gøre det for hver
> enkelt kunde, eller man kan gøre det for en pulje af kunder. Ved du
> at det gøres pr enkelt kunde?
Det afhænger af teknologien, hvad man har af værktøjer at gøre godt
med, og sikkert også lidt af udbyderen, hvilke(t) af dem, de bruger.
-A
| |
Jakob Nielsen (23-12-2004)
| Kommentar Fra : Jakob Nielsen |
Dato : 23-12-04 16:08 |
|
> Det afhænger af teknologien, hvad man har af værktøjer at gøre godt
> med, og sikkert også lidt af udbyderen, hvilke(t) af dem, de bruger.
Så vi er altså over i at det _måske_ er muligt at sende pakker med falsk
afsender-ip hvis blot den falske ip tilhører samme gruppe som ens rigtige
ip?
Dermed kan man i princippet sende annonymt på nettet, da det ikke er til at
sige hvem i gruppen, der har sendt pakken.
Jeg kunne naturligvis bare lave forsøget med en afsender ip som er den ægte
ip +- 1
| |
jamen (23-12-2004)
| Kommentar Fra : jamen |
Dato : 23-12-04 19:15 |
|
Jakob Nielsen wrote:
>>Det afhænger af teknologien, hvad man har af værktøjer at gøre godt
>>med, og sikkert også lidt af udbyderen, hvilke(t) af dem, de bruger.
>
>
> Så vi er altså over i at det _måske_ er muligt at sende pakker med falsk
> afsender-ip hvis blot den falske ip tilhører samme gruppe som ens rigtige
> ip?
> Dermed kan man i princippet sende annonymt på nettet, da det ikke er til at
> sige hvem i gruppen, der har sendt pakken.
> Jeg kunne naturligvis bare lave forsøget med en afsender ip som er den ægte
> ip +- 1
>
>
Du skal nok ned og kigge på mac adresser også. Et typisk setup er nok,
at deres router registerer den ip du får tildelt af dhcp serveren, og
knytter den til din mac. Så når trafik sendes, skal både ip og mac
adresse stemme overens.
| |
Jakob Nielsen (23-12-2004)
| Kommentar Fra : Jakob Nielsen |
Dato : 23-12-04 19:26 |
|
> Du skal nok ned og kigge på mac adresser også. Et typisk setup er nok, at
> deres router registerer den ip du får tildelt af dhcp serveren, og knytter
> den til din mac. Så når trafik sendes, skal både ip og mac adresse stemme
> overens.
Mac er vel kun relevant for ethernet, hvilket de færreste har hele ud til
endepunktet...?
| |
|
|