Aloha!

raw-sockets:
Bisher sind mir raw-sockets etwas "unheimlich", da sie für DoS-Attacken anscheinend (nach dem Link von Sven) sehr beliebt sind. Durch diese wird ja das IP-Spoofing erst ermöglicht. Also warum wurden diese überhaupt ins Leben berufen, wenn sie doch "meist" nur negative Auswirkungen haben. Oder bieten diese raw-sockets einen Vorteil, den ich nocht nicht sehe?

Ganz grundsätzlich gibt es keinen Schutz vor IP-Spoofing. Da der Spoofer ja vermutlich die Herrschaft über seine Hardware hat, könnte er sich auch selbst einen Netzwerkkartentreiber schreiben, und einen TCP/IP-Stack, und dann eigene IP-Pakete in das Netz schicken - völlig frei definierbar.

Raw Sockets sind einfach eine Erleichterung für einen sehr kleinen Teil der Admin-Bevölkerung. Im Prinzip braucht sie im täglichen Leben niemand. Sie sind vermutlich implementiert, weil in der Anfangszeit des Netzes so Experimente mit eigenen Protokollen leichter durchzuführen waren. Windows hatte lange Zeit keine Raw Sockets, und damit nur eingeschränkte Spoofing-Fähigkeiten. Das hat aber niemanden gestört oder daran gehindert, fremde Windows-Rechner für seine Zwecke einzusetzen. Man muß eine IP nicht spoofen, wenn man eine DDoS-Attacke startet. :)

Das Netz vor Spoofing schützen können nur die Access-Provider. Warum lassen die ein IP-Paket aus ihrem Netzwerk heraus, welches laut IP-Adresse gar nicht aus ihrem Netzwerk kommen kann? Wer sich z.B. per Modem einwählt, erhält eine einzige öffentliche IP-Adresse zugeteilt. Regulärer Datenverkehr kann nur diese eine IP-Adresse als Absender haben, und nichts anderes. Wird eine falsche IP-Adresse vorgegaukelt, ist mit 99,999% Sicherheit irgendwas faul, denn es ist nicht davon auszugehen, dass sich hinter dem Modem ein Router befinden, der seinerseits Zugang wieder zum Internet vermittelt und so Pakete mit fremden IP-Adressen durchschleust. In der Regel ist eine Modem-Verbindung eine Sackgasse.

- Sven Rautenberg