Aloha!
Halihallöle ;-)
raw-sockets:
Bisher sind mir raw-sockets etwas "unheimlich", da sie für DoS-Attacken anscheinend (nach dem Link von Sven) sehr beliebt sind. Durch diese wird ja das IP-Spoofing erst ermöglicht. Also warum wurden diese überhaupt ins Leben berufen, wenn sie doch "meist" nur negative Auswirkungen haben. Oder bieten diese raw-sockets einen Vorteil, den ich nocht nicht sehe?
Ganz grundsätzlich gibt es keinen Schutz vor IP-Spoofing. Da der Spoofer ja vermutlich die Herrschaft über seine Hardware hat, könnte er sich auch selbst einen Netzwerkkartentreiber schreiben, und einen TCP/IP-Stack, und dann eigene IP-Pakete in das Netz schicken - völlig frei definierbar.
Yo. Hab ich auch schon gedacht ;-)
Wenn ich die Dokus richtig verstehe, gibt's eine Ethernet-ID, die mit einer IP korrespondiert. Man könnte doch diese Ethernet-ID anzapfen und darüber die eigene (irgendeine) IP senden. Sollte mit C oder Assembler "einfach" machbar sein. Die Netzwerkkarte überprüft ja nicht, was gesendet wird (schätze ich). Man müsste einfach einen eigenen TCP/IP Layer basteln, der die Netzwerkkarte anzapft, dann hat man freie Hand...
Raw Sockets sind einfach eine Erleichterung für einen sehr kleinen Teil der Admin-Bevölkerung. Im Prinzip braucht sie im täglichen Leben niemand. Sie sind vermutlich implementiert, weil in der Anfangszeit des Netzes so Experimente mit eigenen Protokollen leichter durchzuführen waren. Windows hatte lange Zeit keine Raw Sockets, und damit nur eingeschränkte Spoofing-Fähigkeiten. Das hat aber niemanden gestört oder daran gehindert, fremde Windows-Rechner für seine Zwecke einzusetzen. Man muß eine IP nicht spoofen, wenn man eine DDoS-Attacke startet. :)
Yup. Soweit hab ich's schon begriffen ;-)
Das Netz vor Spoofing schützen können nur die Access-Provider. Warum lassen die ein IP-Paket aus ihrem Netzwerk heraus, welches laut IP-Adresse gar nicht aus ihrem Netzwerk kommen kann? Wer sich z.B. per Modem einwählt, erhält eine einzige öffentliche IP-Adresse zugeteilt. Regulärer Datenverkehr kann nur diese eine IP-Adresse als Absender haben, und nichts anderes. Wird eine falsche IP-Adresse vorgegaukelt, ist mit 99,999% Sicherheit irgendwas faul, denn es ist nicht davon auszugehen, dass sich hinter dem Modem ein Router befinden, der seinerseits Zugang wieder zum Internet vermittelt und so Pakete mit fremden IP-Adressen durchschleust. In der Regel ist eine Modem-Verbindung eine Sackgasse.
Eine Sackgasse für den Spoofer meinst du, oder? - Also ein Spoofing-Versuch scheitert, da der Access-Provider das Datenpacket gleich verschluckt.
Viele Grüsse
Philipp
PS: was hat den .de für einen Image-MIME??? ;-)