Halihallo Forumer

Ich habe ja keine "offizielle" IP; wie weiss mein Router, von welchem Computer aus (bei mir lokal 192.168.1.34) der Request gestartet ist? - Der TCP/IP - Header enthält doch nur eine einzige IP und nicht der ganze Routing-Schwanz an IP's, oder?
Nein.
Raus: aus dem privaten Netz per NAT (Network Adress Translation)
Rein: Session Table - Paket zurück an den Router, der weiss, wer im privaten Netz gefragt hat

Hm. Was wird in dieser Session Table festgehalten? - Ich frage deshalb, da es ja möglich wäre, dass zwei Computer dieselbe IP kontakten => wer soll welche Antwort erhalten? - Man müsste zur eindeutigen Identifikation doch einen uniquen Wert mit dem Header versenden, der eindeutig einem und nur einem Rechner zugeteilt ist, oder?

3. Wenn ich über'n Router in's Netz gehe und dort meine "offizielle" IP ansehe; wie kann man über diese IP direkt auf meinen Computer zurückgreifen? - Mit anderen Worten: Wenn ich die offizielle IP meines Routers des Klasse-C Netzwerkes kenne, kann ich bzw. wie kann ich dann auf meinen Computer zugreifen? - Müsste man hierzu einen eigenen TCP/IP - Header hard-coden?
   Richtig, dann müsste aber ein Anfragepaket gefaket sein. Andere Alternative: Der Router leitet eine Port-Anfrage auf einen Rechner im internen Netz weiter, weil diese (laut Router) für die Port-Anfrage zuständig ist. Wenn auf dem rechner der Port auch noch offen ist, ist man auf dem Rechner drauf. 3e Alternative: Der Router hat eine Schwachstelle (wurde gehackt) und behandelt die Anfrage als Anfrage aus dem eigenen Netz.

Mit anderen Worten ist der lokale Computer von aussen nicht ohne grösseren Aufwand sichtbar. Requests können einfach raus, aber rein nur mit "Hacker-Aufwand"... OK. Scheint mir logisch.

4. Was ist ein Provider im Sinne von Netzwerk? - Ist das nix anderes, als ein Netzwerk mit einem Router, der an einem Backbone angeschlossen ist und die Requests an "virtuelle" Clients weiterleitet, die im physikalischen Sinne nicht existieren (die Daten werden eifach kodiert über die Telefon-/Standleitung übertragen)?
   So könnte man es sagen.

Was man mit gutem Menschenverstand so alles herleiten kann :-)

5. Datenrouting
      Je nach Request, wird das Datenpacket über verschiedene Netzwerke weitergeleitet. Das bedingt, dass der Rückweg irgendwo festgehalten werden muss. Wo wird dieser gespeichert? - Der Request-Header enthält doch nur Platz für eine "Rücksprungs" - IP, oder?

Nein, es wird nur festgehalten, welche offizielle IP-Adresse die Daten angefordert hat. Der Rückweg des Pakets ist zunächst offen und muss neu bestimmt werden, wenn die Anfrage verarbeitet wurde.

Oh, jetzt wo du's sagst, ist das ja logisch. Sonst wär das Netz ja nicht so "unzerstörbar". Es war ja genau gewollt, dass die Requests einfach "irgendwie" weitergeleitet werden und so über abermillionen von Wegen dann zurück zum eigentlichen Request-starter gelangen; dann können die Russen getrost einige Router zerstören, das Packet kommt doch irgendwie zurück ;-)
Das war ja auch so gewollt...

Viele Grüsse und herzlichen Dank für die informative Antwort

Philipp

Halihallo Andreas

Sehr interessante Fragen ;-)

jaja, dachte mir, dass du diese interessant findest :-)

Wenn ich nicht irre hat der Router intern Routing-Tabellen gespeichert, der Server bekommt nur die offizielle IP mit, also geht die Anfrage zurück an den Router, der "schaut" in seiner Tabelle nach und sendet die Pakete entsprechend intern weiter. Aber wenn jetzt 2 Clients dieselbe Webseite öffnen, weiß ich nicht mehr, wie der Router das noch unterscheiden will, es ist ja nicht sicher das von der einen Adresse dieselben Daten an beide Clients kommen! Außerdem müßte der Browser dann JEDEN Request loggen, braucht etwas mehr Platz als so ein Router haben sollte, oder?

??? :-(

Anhand der IP kann die Herkunft des Requests bis auf Städte aufgelöst werden (naja, stimmt nicht ganz); warum haben die Provider ein Interesse daran und tun das so? - Die IP's werden ja vom Privder dynamisch festgelegt.
anhand der IP? Soweit ich weiß nur anhand des letzten Provider-Routers,

Äm. ja, sorry.

die aus irgendwelchen Gründen Ihre großen Router nach den Orten der Einwahlknoten benennen, halt als irgendwelche Kürzel.

Hm. Frage mich nur, warum? - Aber Hauptsache sie tun's... Hatte mich nur gewundert, dass es "_alle_?" so machen.

http://www.heise.de/ix/artikel/2002/08/090/
http://jan.kneschke.de/projects/localizer/(unten ist ein Test, bei mir sehr genau!)
http://jan.kneschke.de/projects/geograph/ Mit einer internen DB wird dann halt dem Kürzel eine Stadtname zugewiesen.

THX. Die letzten beide hatte ich schon mal besucht und hatte mich fasziniert... Ist ja für die Bannerwerbung ganz interessant... Städtetargeting... Also der aus Zürch bekommt diesen, der aus Basel jenen Banner zu sehen, o. ä...

Viele Grüsse

Philipp

Aloha!

Wenn ich nicht irre hat der Router intern Routing-Tabellen gespeichert, der Server bekommt nur die offizielle IP mit, also geht die Anfrage zurück an den Router, der "schaut" in seiner Tabelle nach und sendet die Pakete entsprechend intern weiter. Aber wenn jetzt 2 Clients dieselbe Webseite öffnen, weiß ich nicht mehr, wie der Router das noch unterscheiden will, es ist ja nicht sicher das von der einen Adresse dieselben Daten an beide Clients kommen! Außerdem müßte der Browser dann JEDEN Request loggen, braucht etwas mehr Platz als so ein Router haben sollte, oder?

Bei echtem NAT (Network Adress Translation) hat der Router mehrere IP-Adressen zur verfügung und ersetzt z.B. die interne IP eines Rechners komplett durch eine neue externe IP. Damit können natürlich nicht mehr Rechner gleichzeitig online sein, wie externe IPs existieren. Da aber in diesem Fall nur eine einzige IP vorliegt, ist das Beispiel ohnehin unzutreffend.

Beim Masquerading führt der Router eine Tabelle, in der er verzeichnet, welche Requests von internen Rechnern er erhalten hat. Diese Requests leitet er als eigene Requests ins Internet - und zwar auf einem bestimmten Port. Die Antwort des Requests leitet er dann komplett an den internen Rechner zurück. Das klappt sowohl für einmalige Datenübermittlungen wie bei HTTP, als auch bei fortwährenden Verbindungen wie bei IRC.

Echtes FTP ist damit übrigens nicht direkt möglich, da bei FTP auch vom Server her Verbindungen zum Client aufgebaut werden, wenn z.B. Dateien runtergeladen werden sollen. Dafür gibt es passives FTP, bei dem der Client auf Anweisung vom Server weitere Verbindungen aufbaut, und natürlich Module für das Masquerading, welches die FTP-Verbindung analysiert und entsprechend eingehende Verbindungen ermöglicht. Ebenso sind die ganzen Filesharing-Dienste nur eingeschränkt benutzbar, da eingehende Verbindungen eben nicht standardmäßig möglich sind.

- Sven Rautenberg

Halihallo Henryk

Bisher hab ich mich nur als "Anwender" an TCP/IP getraut... Jetzt tät ich mich gerne etwas mit den Internas von Bit's und Bytes beschäftigen und versuche zu verstehen, wie das ganze im Background abläuft

Kleiner Tipp am Rande: Besorg dir Ethereal. Das ist der Netzwerksniffer meiner Wahl und prima zum Lernen und Rumstöbern geeignet. Gibt es notfalls auch für Windows.

Danke für'n Tipp.

Aber wie gelangt nun das Packet wieder zu mir zurück?

Ganz einfach: Du hast keinen Router, sondern ein Masquerading-Gateway. Ein Router würde nur Pakete zwischen zwei (oder mehr) Netzen austauschen und lässt dabei Ziel- und Absenderaddresse intakt (eigentlich ändert er so gut wie gar nichts ausser der TTL). Du verwendest aber Masquerading - manchmal auch 1:n NAT (Network Address Translation) oder PAT (das P steht für Port) genannt. Wenn dein Rechner also ein Paket nach draussen schicken will, schickt er es zuerst an dein Gateway (ist in den Einstellungen als Router eingetragen, und verhält sich nach innen auch genauso). Das ersetzt dann die Absenderaddresse (die ja aus einem der für privaten Gebrauch reservierten Netze kommt) durch seine eigene (öffentliche) Addresse und tauscht gleichzeitig den Absenderport aus und ersetzt ihn durch irgendwas hohes. Diese Ersetzung merkt es sich und hat immer eine Tabelle in der drin steht, von welchem Rechner innen ein Paket ursprünglich kam und an welchen Rechner:Port von welcher ersetzten Portnummer er es geschickt hat.

Aha, so läuft das. Aber Ports sind "nur" deren 65536 vorhanden. Was, wenn mehr Requests ausstehend sind? - Werden dann einfach unterschiedliche Request-IP's zum selben Port geletet, wodurch dann wiederum die "Ziel-IP:Port" Kombination unique wäre? - Klar, das kommt selten vor, aber für's Verständnis wär's trotzdem interessant.

Anhand der IP kann die Herkunft des Requests bis auf Städte aufgelöst werden (naja, stimmt nicht ganz); warum haben die Provider ein Interesse daran und tun das so?

Ja, aber trotzdem müssen die Pakete ja auch dorthin geroutet werden. Prinzipiell wäre es kein Problem zu jeder der dynamisch vergebenen IP-Addressen zu vermerken wo der eingewählte User sitzt und dann den Verkehrt dorthin zu leiten. Praktisch ist das aber aufwändig, weil die Routingtabellen dann riesig werden und ständig geändert werden müssten. Also gibt man einfach jedem Einwahlknoten (evt. auch weiträumiger) eine Menge IP-Addressen und routet einfach allen Verkehr auf diese Addressen an den entsprechenden Knoten. Der kann sie dann an den eingewählten Kunden weiterleiten.

Ach so, dann ergibt das ja sogar Sinn. Dachte, das sei nur eine "pseudo-standardisierung", um der Informationswillen. Aber jetzt ist's klar. Somit kann viel Traffic eingespart werden.

3. Wenn ich über'n Router in's Netz gehe und dort meine "offizielle" IP ansehe; wie kann man über diese IP direkt auf meinen Computer zurückgreifen?

Ja, du musst dazu nur auf dem Masquerading-Gateway ein Portforwarding einrichten. Dann erkennt es alle Verbindungsversuche auf den eingestellten Port und leitet sie an einen beliebigen von dir festgelegten Rechner im internen Netz weiter. (Das geht natürlich mit dem Windows-ICS soweit ich weiss nicht.)

Das ist klar. Aber ohne Portforwarding ist dies nicht zu machen, oder? - bzw. nicht ohne den genannten Aufwand.

4. Was ist ein Provider im Sinne von Netzwerk? - Ist das nix anderes, als ein Netzwerk mit einem Router, der an einem Backbone angeschlossen ist und die Requests an "virtuelle" Clients weiterleitet, die im physikalischen Sinne nicht existieren?

Den zweiten Teil verstehe ich nicht, aber der erste kommt mir richtig vor.

den zweiten Teil? - Der "Client-PC" ist ja nicht im Rechenzentrum des Providers, sondern steht am Ende einer Telefonleitung/Stand-. Deshalb muss ja das Datenpacket über diesen übermittelt werden.

5. Datenrouting
      Je nach Request, wird das Datenpacket über verschiedene Netzwerke weitergeleitet. Das bedingt, dass der Rückweg irgendwo festgehalten werden muss.

Nein, IP kann ausdrücklich asymmetrisch routen. Jeder ans Internet angeschlossene Rechner hat eine Routingtabelle die ihm sagt, wo er Pakete hinschicken muss, wenn sie an eine bestimmte Zieladdresse sollen. (Im Extremfall ist das nur die default-Route, also "Schicke alle Pakete die nicht für dich selbst sind an XYZ, der weiss dann schon was er damit machen soll.") Der Weg den ein Paket von A nach B nimmt ist aber von vorneherein nicht bekannt, bloß dass das Netz sein bestes tun wird, um das Paket dorthin zu bringen. Es ist durchaus möglich, dass jedes Paket einer logischen Verbindung einen anderen Pfad nimmt. Daraus schöpft 'das Netz' seine vielbeschworene Fehlertoleranz: Wenn ein Pfad kaputt ist, nimmt es einfach einen anderen. Die Kernrouter die den Hauptverkehr des Internets transportieren, unterhalten sich ständig untereinander und sagen sich wohin sie Pakete routen können. Ausserdem wird dabei die Laufzeit und die Länge des Weges berücksichtigt und die Routingtabellen dementsprechend angepasst. (Ich hab mich damit auch noch nicht beschäftigt, google einfach mal nach BGP.)

Ja, besten Dank für die Erleuterung.

Vielen Dank für die Informationen

Philipp

Moin,

Ein Router kann angezapft werden und an jeden Port ein gefaktes Packet mit dem Flag "Response" gesendet werden, was dann zum Client weitergeleitet wird. Somit könnte man ja den Client völlig zumüllen, oder? - Man muss halt nur schneller sein, als die richtige Response.

Noch nicht mal. Wenn es sich um eine TCP-Verbindung handelt, ist die Reihenfolge und die Flags der Pakete egal, um weitergeleitet zu werden. (Naja fast, Pakete mit RST bzw FIN beenden die Verbindung.)

vielleicht wäre es möglich alle Requests auf eine bestimmte URL abzufangen und durch gefakte Responses zu fälschen.

Nicht wirklich, zumindest nicht von ausserhalb. Um das tun zu können, musst du auf dem Pfad zwischen Browser und Server sitzen. TCP hat nämlich eine Sicherung dagegen: Die Sequenznummern. Pakete werden nur als gültig für die Verbindung betrachtet, wenn sie die richtige Sequenznummer tragen. Um ein gefälschtes Paket zu erstellen, dass in die Verbindung eingeht, musst du demnach die Verbindung abhören können und dann kommt das Passwort eh raus, es sei denn du verwendest SSL und dann geht das einfache Einschleusen von Pakete nicht. Eine Einschränkung: Einige Betriebssysteme (zum Beispiel die billig-Windowsvarianten) haben Probleme mit ihrem Sequenznummern, da könnte man evt. auch ohne sniffen die aktuelle Sequenznummer zumindest in einem gewissen Bereich erraten.

Besonders die Synchronisation (bzw. die Geschwindigkeit, dass man die "richtigen" Responses unterdrückt) ist sehr schwierig.

Ahja, das ist ein weiteres Problem. Wenn du bei diesen Injection-Attacken (unabhängig davon, ob Masquerading dazwischen ist oder nicht) nicht vorsichtig bist, fängst du dir unter Umständen eklige Probleme ein, wie einen ACK-Sturm.

--
Henryk Plötz
Grüße aus Berlin

* Help Microsoft combat software piracy: Give Linux to a friend today! *

Hi!

Ich glaube Du mußt Dir keine Sorgen machen das sich jetzt alle hier hinsetzen und solche Sachen probieren. Diejenigen hier die evtl. dazu in der Lage wären werden das wohl gewußt haben, das problem ist Du mußt erstmal zwischen die interessante Seite und die User kommen, das ist wahrscheinlich nicht so einfach wie es sich anhört!

Also: Requests werden in der Tabelle mit Ports wiedererkannt und an den richtigen Client-PC weitergeleitet. Nun habe ich mir was ausgedacht:

Ein Router kann angezapft werden

auchg das ist garabtiert nicht so einfach und bei den meisten (einfachen) Routern wahrscheinlich unmöglich!

vielleicht wäre es möglich alle Requests auf eine bestimmte URL abzufangen und durch gefakte Responses zu fälschen. Man könnte eine Passwort-Eingabe-Seite abfangen und durch die eine eigene ersetzen, dessen Lyout der eigentlichen entspricht, jedoch das übermitteln der Formulardaten an ein eigenes Script weiterleitet, wo das Passwort gespeichert wird. Dann die Meldung: "Passwort falsch"; dann wird der User an die richtige URL weitergeleitet und dort macht er das selbe nochmal und kommt an die richtige Stelle. Er wundert sich kurz und ich habe sein Passwort...

Sowas wie http://www.odem.org/insert_coin/, nur ist das problem Du mußt vorher die Clients manipulieren damit Sie über deinen Proxy gehen, und da schließt sich der Kreis ;-)

Tja, vielleicht habe ich einfach zuviele schlechte Filme gesehen :-))

Warum schlecht? Ich bin leidenschaftlicher Matrix-Fan - freue mich schon auf die Fortsetzung ;-)

Grüße
Andreas

Hallo Philipp,

Wie funktioniert dann traceroute intern?

Das klassische Traceroute benutzt als Protokoll ICMP. Teil eines  solchen Datenpaketes ist das Feld TTL (time to live), daß mit einem positiven Wert (z.B. 30) initialisiert wird. Wenn das Paket nun von Router zu Router weitergereicht wird veringert jeder Router das Feld TTL (zumeist) um eins. Wenn TTL schließlich auf 0 oder 1 steht, sendet der Betreffende Router das Signal "time exceeded" an die ursprüngliche IP zurück. Teil diese "time exceeded" ist auch die IP des betreffenden Routers.
traceroute testet nun einfach mit allen möglichen TTL Werten die komplette Route hin zu einem target durch.
In letzter Zeit ist es leider üblich geworden, daß viele Router/Server ein Packet mit einem "abgelaufenen" TTL komentarlos wegwerfen, deswegen gibt es neuere Traceroute Impementierungen, die UDP Packete an irgendwelche nicht genutzten (hohen) Portnummern versendet und die Fehlermeldung auswerten (das grundlegenede Prinzip ist aber das gleiche, man umgeht aber auf diese Weise einige Firewall Regeln).

Grüße Peter

Aloha!

raw-sockets:
Bisher sind mir raw-sockets etwas "unheimlich", da sie für DoS-Attacken anscheinend (nach dem Link von Sven) sehr beliebt sind. Durch diese wird ja das IP-Spoofing erst ermöglicht. Also warum wurden diese überhaupt ins Leben berufen, wenn sie doch "meist" nur negative Auswirkungen haben. Oder bieten diese raw-sockets einen Vorteil, den ich nocht nicht sehe?

Ganz grundsätzlich gibt es keinen Schutz vor IP-Spoofing. Da der Spoofer ja vermutlich die Herrschaft über seine Hardware hat, könnte er sich auch selbst einen Netzwerkkartentreiber schreiben, und einen TCP/IP-Stack, und dann eigene IP-Pakete in das Netz schicken - völlig frei definierbar.

Raw Sockets sind einfach eine Erleichterung für einen sehr kleinen Teil der Admin-Bevölkerung. Im Prinzip braucht sie im täglichen Leben niemand. Sie sind vermutlich implementiert, weil in der Anfangszeit des Netzes so Experimente mit eigenen Protokollen leichter durchzuführen waren. Windows hatte lange Zeit keine Raw Sockets, und damit nur eingeschränkte Spoofing-Fähigkeiten. Das hat aber niemanden gestört oder daran gehindert, fremde Windows-Rechner für seine Zwecke einzusetzen. Man muß eine IP nicht spoofen, wenn man eine DDoS-Attacke startet. :)

Das Netz vor Spoofing schützen können nur die Access-Provider. Warum lassen die ein IP-Paket aus ihrem Netzwerk heraus, welches laut IP-Adresse gar nicht aus ihrem Netzwerk kommen kann? Wer sich z.B. per Modem einwählt, erhält eine einzige öffentliche IP-Adresse zugeteilt. Regulärer Datenverkehr kann nur diese eine IP-Adresse als Absender haben, und nichts anderes. Wird eine falsche IP-Adresse vorgegaukelt, ist mit 99,999% Sicherheit irgendwas faul, denn es ist nicht davon auszugehen, dass sich hinter dem Modem ein Router befinden, der seinerseits Zugang wieder zum Internet vermittelt und so Pakete mit fremden IP-Adressen durchschleust. In der Regel ist eine Modem-Verbindung eine Sackgasse.

- Sven Rautenberg

Moin,

Wie funktioniert dann traceroute intern?

Es schickt Pakete (zum Beispiel ICMP oder UDP-Pakete) raus und verändert dabei die TTL. Die TTL wird jedesmal, wenn das Paket an einem Router vorbeikommt um eins verringert und wenn sie Null erreicht wird das Paket weggeschmissen (dadurch wird verhindert, dass unzustellbare Pakete bis zum St. Nimmerleinstag herumgeistern). Außerdem sendet der Router (soweit ich weiss, nur wenn er will) eine Fehlermeldung raus und die wird dann von traceroute abgefangen. Damit hat es hoffentlich die IP-Addresse jedes Routers auf dem Weg. Dann kann es (ist zumindest die Standardeinstellung) die IP-Addresse in einem DNS-Namen verwandeln und zeigt dir damit den Weg an. Außerdem gibt es in der Regel noch die Zeiten bis zur Rückkehr der einzelnen Pakete an: Damit kannst du erkennen, wenn es irgendwo stockt. Wenn die Zeit zwischen zwei Routern plötzlich nach oben springt, hast du in der Regel eine grade sehr stark belastete Verbindung gefunden.

Dass man die Geographische Position herausfinden kann ist klar, u. a. durch DNS-LOC oder die IP-Range der "Core"-Router.

Naja, das ist aber eher auch Voodoo. (So ähnlich wie Quelltext verstecken)

raw-sockets:
Bisher sind mir raw-sockets etwas "unheimlich", da sie für DoS-Attacken anscheinend (nach dem Link von Sven) sehr beliebt sind.

Ich hatte sowas schon geahnt. Prinzipiell solltest du alles was Gibson sagt mit extremer Vorsicht genießen. Wann immer man auch grc.com linkt, sollte auch ein Link auf http://grcsucks.com/ dabei sein. Die Seite solltest du dir auch noch durchlesen, und dann am besten noch ein paar Recherchen im Usenet anstellen, um dir deine Meinung bilden zu können.

--
Henryk Plötz
Grüße aus Berlin

* Help Microsoft combat software piracy: Give Linux to a friend today! *