Nieuwe software om ip-adressen te verbergen

Bij Globenews valt te lezen dat er nieuwe software ontwikkeld is om een ip-adres te verbergen. Het programma heet NCovert en kan adressen 'spoofen'. Mark Lovelace, onderzoeker bij BindView, onthulde het op de Black Hat bijeenkomst en draaide er niet omheen dat mensen die iets te verbergen hebben dit programma zullen gebruiken. Vooral black hats, criminele hackers, zouden baat hebben bij de nieuwe techniek. Het programma kan een verborgen communicatiebrug vormen, en zo informatie doorgeven:

Spoofing for dummies kleinThe technique essentially creates a covert channel for communications by hiding four characters of data in the header's initial sequence number (ISN) field. The header is the part of data packets that tells network hardware and servers how to handle the information. The header also includes source and destination Internet protocol (IP) addresses. Those addresses are used to add anonymity to the communications.

De sleutel tot de techniek is volgens Lovelace dat de verzender zijn ip-adres laat lijken op dat van de ontvanger. Het doel-ip verwijst naar een andere server van een derde partij. De hacker verzendt een bericht naar de server, die de connectie aangaat. Omdat het ip van de verzender omgevormd is tot dat van de ontvanger wordt de verbinding geopend met het slachtoffer van de hacker. Deze techniek maakt het vrijwel onmogelijk om de afkomst van een ip-adres te achterhalen. Lovelace geeft aan dat het met de komst van IPv6 moeilijker zal zijn om adressen te spoofen.

Door Jojk Wesseling

Feedback • 02-08-2003 22:40
59 • submitter: Longbeard

02-08-2003 • 22:40

59

Submitter: Longbeard

Bron: Globenews

Lees meer

'IPv6 over vijf jaar noodzakelijk'
'IPv6 over vijf jaar noodzakelijk' Nieuws van 16 juni 2006
Nokia demonstreert telefoon met IPv6-verbinding
Nokia demonstreert telefoon met IPv6-verbinding Nieuws van 19 november 2004
Japan, Zuid-Korea en China samen in Internet Protocol v6
Japan, Zuid-Korea en China samen in Internet Protocol v6 Nieuws van 31 december 2003
Bedrijfsnieuws

Reacties (59)

-Moderatie-faq
59
58
37
14
5
0
Wijzig sortering
Romeo 2 augustus 2003 22:55
Lovelace geeft aan dat het met de komst van IPv6 moeilijker zal zijn om adressen te spoofen.
Waarom zijn ipv6 adressen moeilijker te spoofen? Het is toch dezelfde methode als bij ipv4?
The Jester @Romeo2 augustus 2003 23:08
Nee, niet echt.
IPv6 heeft een heel andere structuur. Daarom is het ook mogelijk om QoS in het protocol te implementeren. (Quality of Service).

Het is niet zo dat IPv4 + 2bytes address space == IPv6.
Net zo min als je Qbasic met C++ kunt vergelijken ;)
liberque @Romeo3 augustus 2003 03:33
Authentication Header (AH)

The Authentication Header (AH) provides data integrity and data authentication for the entire IPv6 packet. Anti -replay protection is also provided by the AH.

Data authentication refers to the fact that if a given computer receives an IP packet with a given source address in the IP header, it can be assured that the IP packet did indeed come from that IP address. Data integrity refers to the fact that if a given computer receives an IP packet, it can be assured that the contents have not been modified along the path from the source node to the destination node. Anti-replay protection means that if a computer has already received a particular IP packet, another packet with modified data won't also be accepted as valid data
Een stukje uit een document over Security Features in IPv6 gevonden in Google op www.sans.org

Check voor het hele document in html hier (googlecache) of hier voor de pdf versie
arjankoole
@Romeo2 augustus 2003 23:10
nee, IPv6 heeft een aantal security uitbreidingen in het protocol ingebouwd, juist om spoofing te voorkomen, en voor nog wat andere zaken. (IPSec bijvoorbeeld is een techniek wat in eerste instantie voor IPv6 exclusief was, later is het gepoort, zij het iets minder effectief, naar IPv4).
SKiLLa 3 augustus 2003 01:04
Hmpfz dit soord zaken vallen dus onder de beginners cursus ISP beheer. En worden igg bij xs4all* uitgefilterd ( egress)
Klopt helemaal ! Er zijn ook zogenaamde RFC's voor providers en elke provider die zichzelf enigszins serieus neemt, volgt deze op. Laat nou net 1 van de RFC's aanraden (ofwel niet verplichten !) dat providers gespoofde IPs binnen hun netwerk moeten droppen.

En IP Spoofing is eigenlijk gewoon een 'bug / undocumented feature / onvoorzien security issue' in IPv4 en is echt niet de 'hoofdreden' voor IPv6. Zie voor de wereld van verschil tussen IPv4 en IPv6 simpelweg google !)

En IP Spoofing is prehistorisch oud, alleen is dit het eerste proggie dat op grote schaal 'semi commercieel' wordt aangeboden. Maar toevallig ooit van een RDoS (= Reflected Denial of Services) gehoord ? Dat is een IP Spoofed (D)DoS ... en bestaat alleen bij de gratie van 'slechte' providers die niet hun netwerk filteren op IP pakketjes met fake afzenders (lees: afzenders die niet in dat deel van het netwerk thuishoren; spoofen met het IP van je 'buurman' is dan alsnog mogelijk ...)

Zie google.com voor meer info, of lees je network essentials er maar op na (tip: Computer Networks v3, Andrew (=Andy, mijn oude prof op de VU) S. Tanenbaum, standaard werk voor ITérs ...).

En mbt. de firewalls, je hebt verschillende 'types' firewalling; niet alleen het blokkeren van IPs en/of poorten, maar ook 'packing inspecting' firewalling; ofwel het checken van de inhoud (en header) van elk IP pakket ... denk maar niet dat je WinXP firewall iets tegen IP Spoofing kan doen hoor ! Want een spoofer die weet wanneer, vanaf welke poort naar welk IP + poort jij een verbinding hebt( middels bv. sniffen), kan je flink flessen !
Verwijderd @SKiLLa3 augustus 2003 12:18
Het zuigt juist als je niet kan spoofen, het gebruik van verschillende verbindingen en die samen te nemen wordt vrij veel gebruikt. Hierdoor heb je een betere upload.

IP Spoofing is helemaal geen security issue, het is juist een feature wat nodig is om te kunnen routeren. Het zou inderdaad uitgezet kunnen worden voor gebruikers, maar er zijn ook legale toepassingen hiervoor (zie boven)
The-Source @Verwijderd3 augustus 2003 12:24
Het is ook heel simpel uit te schakelen.
Ik heb me er zelf wel eens in zitten te verdiepen en als je provider ff zijn router insteld dat hij alleen packetjes door stuurd waar het afzender adres ook de afzender is dan kan er al niet meer gespoofd worden.
Ik denk ook dat dit programma alleen op Win2k/ WinXP zal draaien omdat Win9x geen volledige toegang tot de tcp/ip stack bied.
Critici vragen zich nog steeds af waarom Win2k/ XP dat wel hebben omdat de meeste scriptkiddies hier juist van gebruik maken.

BTW *nix systemen hebben het altijd al gehad.
Verwijderd 3 augustus 2003 00:35
Hmpfz dit soord zaken vallen dus onder de beginners cursus ISP beheer. En worden igg bij xs4all* uitgefilterd ( egress)


Dit kan je dus proberen maar je pakketen worden gedropt als invalid.

* Helaas :)
Mujo 2 augustus 2003 23:49
Daar is ie dan hoor: het goedkope alternatief
voor het dure Invisilan :+ :

Amsterdams bedrijf maakt netwerken 'onzichtbaar'

Invisilan stuit op veel kritiek van experts

De techniek is wat anders, maar het doel veelal
hetzelfde.
Wat zullen die mensen balen zeg...
Maxonic @Mujo3 augustus 2003 02:24
Het doel is niet 100% hetzelfde.
Invisilan zet als het ware een WAn op[ dat meerdere malen per seconden van IP veranderd. Alleen de mensen die deel uitmaken van dat WAN weten naar welk IP er verhuist gaat worden. Op deze manier is het dus niet mogelijk om geDost te worden of dergelijke. Het normaal deel uit maken van het internet zal er ook niet in zitten maar daar is het ook niet voor bedoeld. Een WAN dat voor de rest van de internetwereld onzichtbaar is is nl het doel van Invisilan.

Dit programma is echter wel letterlijk bedoeld om met een niet te achterhalen IP gebruik te maken van het Internet. Waar Invisilan een dynamische brug maakt geeft NConvert een valse naam op. :)
NulNulNix188 3 augustus 2003 00:16
Hmmm, misschiens is dit wat...
http://www.entreelibre.com/gray-world.net/papers/ccintcpip.txt

Voor source scroll naar beneden... }>
Ruuddie @NulNulNix1883 augustus 2003 12:32
Lijkt me sterk dat dat 't is:
/* Covert_TCP 1.0 - Covert channel file transfer for Linux
* Written by Craig H. Rowland (crowland@psionic.com)
* Copyright 1996 Craig H. Rowland (11-15-96)
* NOT FOR COMMERCIAL USE WITHOUT PERMISSION.
Uit 1996?? ;)
Verwijderd @NulNulNix1883 augustus 2003 16:41
Zou er iemand dit kunnen compileren, heb namelijk geen c compiler op mijn pc momenteel :(

Thanks, ik wil wel eens zien of het echt goed werkt en of dit echt het juiste progje is!
n4m3l355
2 augustus 2003 23:10
normaal laat een spoof info achter. als je een spoof doet krijg je een reply en in de packages die je terug krijgt met een hexkey kun je 'm "inlezen" en alsnog info eruit halen. lees bijv. van nmap de manual door daar staat meer info erover hoe het functioneerd.
dit lost het blijkbaar op.
ik denk dat ipv6 complexer is te spoofen dan ipv4 en dat de reden ervoor is
Verwijderd 2 augustus 2003 23:58
Nou ik zou zo'n programma ook wel willen gebruiken hoor! Ik heb niets te verbergen, maar asl je op mijn firewall kijkt wat daar allemaal tegenaan tikt (en wellicht hier en daar doorlaat) vind ik dat toch wel erg. In principe surf ik alleen op het internet op zoek naar nieuwtjes in computerland. Het is dan vrij irritant om te merken dat er zoveel mensen geintresseerd zijn in wat er op mijn computer te vinden is. Je moet toch wel erg triest zijn om te willen weten wat er bij een argeloze partiuliere netsurfer op zijn pc'tje huist. "GET A LIFE en laat mij met rust" zeg ik dan.

Kortom je hoeft dus niet persee iets te verbergen te hebben om gebruik te willen maken van dergelijke software. Je moet ook als argeloze internet gebruiker gewoon steeds verder gaan om te voorkomen dat mensen je privacy schenden.
Verwijderd @Verwijderd3 augustus 2003 00:44
Niet alle dingen die je firewall aangeeft zijn daadwerkelijk "aanvallen" van mensen. Veel scans worden gedaan door wat minder subtiel geconfigureerde services die op internet broadcasten naar willekeurige computers, dit zijn echter zogenaamde legitieme scans, niet bedoeld om je computer te kraken.

IP Spoofing maakt je computer niet onzichtbaar op het internet, het maakt je alleen als client onzichtbaar voor de server die je aan het "gebruiken" bent. Je zichtbaarheid op het internet kan wel door een firewall beïnvloed worden. Maar zichtbaarheid zegt weinig over veiligheid.

Als je echt onzichtbaar wil zijn op het internet moet je je firewall pakken en al je poorten dichtzetten, of je trekt gewoon de stekker uit je internetverbinding. Dan weet je pas zeker dat je niet gehackt wordt via internet. Ik blijf zelf van de grappige exe files in mailtjes af, installeer de laatste security updates, druk niet op "Ja" bij ieder pop up scherm, en gebruik rare tekens in mijn wachtwoorden. Veel simpeler dan IP spoofing of een firewall! :)
Verwijderd @Verwijderd3 augustus 2003 11:50
Nou daar heb jij wel gelijk in hoor. Het ligt ook inderdaad wel besloten in je eigen surfgedrag hoeveel narigheid je daadwerkelijk over je heen krijgt. Maar het blijft wel jammer dat je zo alert moet zijn tijdens het surfen. Maar goed ook daarin had je gelijk: je kunt altijd de stekker eruit trekken ja..... ;)
mipviwawes @Verwijderd3 augustus 2003 00:29
Als ik zo vrij mag zijn, ik geef mij de zelfde omschrijving van computer gebruik :).

Maar als jij je IP gaat spoofen dan veroorzaak jij toch een veel grotere interesse naar je spulletjes achter je echte IP.

* 786562 Sugadaddy
Verwijderd @Verwijderd3 augustus 2003 13:30
geen van de mensen die je firewall ziet is geinteresseerd in jouw pc,

mannetjes scannen gewoon een hele range ip adressen op zoek naar het openstaan van een bepaalde service/trojan/server..
jij zit toevallig in die range adressen, maar je bent verder niet interessant omdat je waarschijnlijk geen snelle upstream hebt.

ik zou gewoon me pc goed afstellen en je firewall uitzetten, als je een beetje oplet en nadenkt heb je die gewoon niet nodig.
utbone 2 augustus 2003 22:48
Misschien iets voor de Spaanse P2P gebruikers die nu door de RIAA worden gedaagt? ;)
Maarten @klet.st @utbone3 augustus 2003 10:45
Nee, helaas heeft de poster op Tweakers het artikel dermate slecht weergegeven dat het originele artikel compleet verkeerd uitgelegd wordt.

De applicatie is bedoeld voor het versturen van (niet al te grote) berichten/data tussen twee machines, gebruik makend van een derde. Hoewel de applicatie 'covert' suggereert is, zal de derde machine toch snel in de gaten kunnen hebben dat er iets mis is.

Wat de app doet is het volgende:

Vanaf machine A wil men een bericht naar machine B sturen. Machine A stuurt een IP pakket naar machine C met als afzender machine B. In dit bericht zit in een bepaald IP dataveld het bericht verstopt. Machine C ontvangt het, maar kan er niet veel mee en stuurt daarom een reactie terug. Uiteraard gaat deze reactie naar machine B, want C denkt dat dit de afzender was. het dataveld uit het originele pakket blijft behouden, of tenminste herleidbaar uit de reactie van C naar B.

Niet iets wat je met veel data (dus P2P/kazaa achtig) wilt doen, maar puur het sturen van commando's e.d. (Denk aan Zombienets e.d.). Leuk, maar niet heel vernieuwend, dergelijke technieken zijn al lang geleden beschreven.
ShadowLord @Maarten @klet.st3 augustus 2003 12:17
Erg duidelijke uitleg... Maar om deze techniek te perfecteren, neem je gewoon iedere keer een andere 'C'. Genoeg webservers en andere PC's om een aantal jaren met elkaar te praten voor je ze voor een 2e keer moet gebruiken.

De enige die dan nog kan zien dat er iets niet helemaal 100% aan de hand is, is je provider, aangezien die paketjes met IP's langs ziet komen die niet in hun adress space zitten. Aan de andere kant, als ISP's DAT zouden controleren, zouden we ook geen last meer hebben van DoS attacks met gespoofte IP's en hier heeft 99% van de ISP's ook niets aan gedaan.
THC @Maarten @klet.st3 augustus 2003 20:10
Dat lijkt mij storend voor "C" Levert dit nog vertraging voor "C" op, omdat hij het signaal moet verwerken? Als mensen dit maar genoeg doen naar "C" heeft die daar serieus onder te lijden lijkt mij?
Maarten @klet.st @THC3 augustus 2003 21:58
Als je bedenkt dat alleen het ISN (soort volgnummer) gebruikt wordt voor de boodschap, kun je je voorstellen dat er een hoop onnodige communicatie plaatsvindt, die door C afgehandeld moet worden.

Ik heb me nog niet verdiept in de exacte communicatie, maar of het echt veel overlast zal bezorgen hangt natuurlijk van de implementatie af.
Stuur je alleen maar SYN pakketten naar rare poortnummers op host C, die op de betreffende poorten niets aanbiedt, dan zal het opvallen. Stuur je SYN pakketten naar een bekende, openstaande poort (poort 80, als C een webserver is bijvoorbeeld) dan valt het wel mee.

Hoe dan ook, als je een complete MP3 file via een 'C' stuurt richting B, dan zal C gaan er een hoop vreemde te verwerken krijgen en hier dus best last van kunnen hebben :P.
Verwijderd @utbone3 augustus 2003 08:11
Sinds wanneer is de RIAA atief in Spanje ?

RIAA is toch Amerikaans ? :?
Bas! @Verwijderd4 augustus 2003 09:48
Hmm misschien heeft spanje wel zo'n zelfde uitleveringsverdrag als nederland. Nu kan het AD het behoorlijk opgeklopt hebben, maar het zal theoretisch wel mogelijk zijn. Het verhaal ging als volgt, een meisje geeft een amerikaan softdrugs omdat ie blijft aandringen, en wordt opgepakt omdat ze amerikaan aanzet tot drugsgebruik. Dat zou dus ook kunnen met filesharing.
maartena @Verwijderd4 augustus 2003 18:04
RIAA is Amerikaans. Maar dat neemt niet weg dat vergelijkbare organisaties in Europa ook dergelijke stappen ondernemen.

Voor de RIAA ooit tot dergelijke actie kwam zijn er al een 50-tal Denen veroordeeld tot geldboetes na het gebruik van Kazaa en nu dus ook een stuk of duizend Spanjaarden. Of de invloed van de RIAA zover rijkt dat ze van andere landen kunnen eisen dat ze optreden tegen filesharing weet ik niet.

Feit blijft dat zelfs al zetten alle Amerikanen hun Kazaa op "download only" (wat dus niet te controleren valt) er meer Europeanen (en Aziaten) op internet zitten en het delen van bestanden altijd zal blijven bestaan.

Verder moet je denk ik niet de illusie hebben dat je in Nederland 100% veilig zit. Het weer kan zo omslaan......
Tha_TE 2 augustus 2003 22:43
Vooral black hats, criminele hackers, zouden baat hebben bij de nieuwe techniek.
En mensen die niet gehackt willen worden ook.. denk ik :)
The Jester @Tha_TE2 augustus 2003 23:04
Nee hoor. Een server die spooft, zal niet veel hits krijgen, lijkt mij zo...
Verwijderd 3 augustus 2003 15:33
Alleen de mensen die deel uitmaken van dat WAN weten naar welk IP er verhuist gaat worden. Op deze manier is het dus niet mogelijk om geDost te worden of dergelijke.
Wat dacht je van een stortvloed van pakketten op het broadcast adres ? OK dan ligt meteen heel het netwerk plat maar zoiets vinden criminele hackers ook best leuk.

Als je een ICMP pakket stuurt naar het broadcastadres en je weet dat je een linuxserver moet hebben voor de gevoelige gegevens dan onderzoek je gewoon alle replies met OS fingerprinting en als er maar één linuxpc staat kun je met een scriptje dat systeem toch redelijk effectief stalken ook al veranderd het ip telkens.

Of je creert gewoon voor ieder mogelijk ip in een subnet een thread in je hack programma en probeert zo een patroon te ontdekken of in ieder geval die linuxserver aan te vallen.

Ik las laatst op Packetstorm ook iets over DHCP spoofing.
Als Piet naar zijn werk een laptopje meeneemt en de DHCP server moet zeer veel PC's bedienen (dat zal vaak voorkomen in een groot bedrijf) dan is Piet na het doen van een aanval ontraceerbaar. Zeker als Piet tussentijds nog een paar keer van IP verwisseld. Of Piet kan naar een Wifi netwerk rijden, dan zal hij ook nooit gevonden worden als hij dat maar een of een paar keer doet.

En als Piet hetzelfde adres als afzender gebruikt of een adres wat bv. wel degelijk in het adresbereik van xs4all ligt, lijkt het me moeilijk te filteren.

Bovendien zal het anti-spoofing in IPv6 alleen maar personen aanmoedigen servers te hacken en argeloze surfers te gebruiken voor aanvallen.

Zo zijn er nog legio mogelijkheden te bedenken.
Dit valt uiteraard bijna allemaal een beetje tegen te gaan maar het gaat maar om het idee...
Verwijderd @Verwijderd3 augustus 2003 16:41
En als Piet hetzelfde adres als afzender gebruikt of een adres wat bv. wel degelijk in het adresbereik van xs4all ligt, lijkt het me moeilijk te filteren.
Portsecurity/acl's.. best standaard.


Als provider dien je verkeer naar je broadcast adres te filteren. Mensen van CERT onderzoeken (of onderzochten) dit regelmatig, omdat hiermee zogenaamde amplification attacks kunnen worden uitgevoerd. Als ze zoiets vonden waarschuwden ze de administrators van het betreffende blok.

IP spoofing is voor remote aanvallen niet erg handig, tenzij dit met een enkel pakket kan worden gedaan (wat zeer weinig voorkomt, mssql slammer is echt een uitzondering)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq