Moin!

Der IP-Faker müsste also mindestens 3 Pakete faken. Man muss jetzt aber wissen, dass jedes TCP/IP-Paket einen Zähler enthält, der mit einer Zufallszahl initialisiert wird. Da der Angreifer den Zähler des Servers nicht kennt (da er das erst im ersten Antwortpaket erfahren kann, welches aber nicht an ihn geschickt wird, da die gefakete IP nicht seine ist) dann muss er sie raten. Das ist möglich jedoch extrem unwarscheinlich. Aber: Wenn er den Counter einmal erraten hat (der wird jedes Paket hochgezählt), dann stehen ihm für _diese_ Verbindung Tür und Tor offen. Er kann jedoch nur Anfragen absetzten, aber keine Daten empfangen, da die Pakete nicht an ihn gerichtet sind.

Nachtrag: der Angreifer kann nicht mal wissen, ob er erfolgreich war, da er ja keine direkte Antwort bekommt.

Ich stimme vollkommen zu.

Es ist für den Angreifer insbesondere nicht möglich, unter der IP-Adresse des Webservers irgendeine Antwort zu empfangen.

Selbst wenn er es schaffen würde, die IP des Webservers erfolgreich zu faken und alle Counter etc. korrekt zu raten, dann würde er dennoch kein einziges Datenpaket _auf die Netzwerkleitung_ kriegen, denn das Routing des Webservers würde alle Datenpakete zur eigenen IP auf das Loopback-Device (127.0.0.1) routen - die Daten kämen niemals auf eine abhörbare Netzwerkleitung. Den Direktzugriff auf die IP/IPs des Webservers zu beschränken hilft enorm gegen Faker.

Rein von der TCP/IP-Ebene ist es IMO unmöglich, per gefakter IP unberechtigt an den Inhalt einer URL zu gelangen. Wie das Ausliefern einer unberechtigten URL an eine externe IP ohne Faken verhindert werden kann, ist Michaels Aufgabe. :)

- Sven Rautenberg