Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Bron: Globenews, submitter: Longbeard

Bij Globenews valt te lezen dat er nieuwe software ontwikkeld is om een ip-adres te verbergen. Het programma heet NCovert en kan adressen 'spoofen'. Mark Lovelace, onderzoeker bij BindView, onthulde het op de Black Hat bijeenkomst en draaide er niet omheen dat mensen die iets te verbergen hebben dit programma zullen gebruiken. Vooral black hats, criminele hackers, zouden baat hebben bij de nieuwe techniek. Het programma kan een verborgen communicatiebrug vormen, en zo informatie doorgeven:

Spoofing for dummies kleinThe technique essentially creates a covert channel for communications by hiding four characters of data in the header's initial sequence number (ISN) field. The header is the part of data packets that tells network hardware and servers how to handle the information. The header also includes source and destination Internet protocol (IP) addresses. Those addresses are used to add anonymity to the communications.

De sleutel tot de techniek is volgens Lovelace dat de verzender zijn ip-adres laat lijken op dat van de ontvanger. Het doel-ip verwijst naar een andere server van een derde partij. De hacker verzendt een bericht naar de server, die de connectie aangaat. Omdat het ip van de verzender omgevormd is tot dat van de ontvanger wordt de verbinding geopend met het slachtoffer van de hacker. Deze techniek maakt het vrijwel onmogelijk om de afkomst van een ip-adres te achterhalen. Lovelace geeft aan dat het met de komst van IPv6 moeilijker zal zijn om adressen te spoofen.

Moderatie-faq Wijzig weergave

Reacties (59)

Lovelace geeft aan dat het met de komst van IPv6 moeilijker zal zijn om adressen te spoofen.
Waarom zijn ipv6 adressen moeilijker te spoofen? Het is toch dezelfde methode als bij ipv4?
Nee, niet echt.
IPv6 heeft een heel andere structuur. Daarom is het ook mogelijk om QoS in het protocol te implementeren. (Quality of Service).

Het is niet zo dat IPv4 + 2bytes address space == IPv6.
Net zo min als je Qbasic met C++ kunt vergelijken ;)
Authentication Header (AH)

The Authentication Header (AH) provides data integrity and data authentication for the entire IPv6 packet. Anti -replay protection is also provided by the AH.

Data authentication refers to the fact that if a given computer receives an IP packet with a given source address in the IP header, it can be assured that the IP packet did indeed come from that IP address. Data integrity refers to the fact that if a given computer receives an IP packet, it can be assured that the contents have not been modified along the path from the source node to the destination node. Anti-replay protection means that if a computer has already received a particular IP packet, another packet with modified data won't also be accepted as valid data
Een stukje uit een document over Security Features in IPv6 gevonden in Google op www.sans.org

Check voor het hele document in html hier (googlecache) of hier voor de pdf versie
nee, IPv6 heeft een aantal security uitbreidingen in het protocol ingebouwd, juist om spoofing te voorkomen, en voor nog wat andere zaken. (IPSec bijvoorbeeld is een techniek wat in eerste instantie voor IPv6 exclusief was, later is het gepoort, zij het iets minder effectief, naar IPv4).
Hmpfz dit soord zaken vallen dus onder de beginners cursus ISP beheer. En worden igg bij xs4all* uitgefilterd ( egress)
Klopt helemaal ! Er zijn ook zogenaamde RFC's voor providers en elke provider die zichzelf enigszins serieus neemt, volgt deze op. Laat nou net 1 van de RFC's aanraden (ofwel niet verplichten !) dat providers gespoofde IPs binnen hun netwerk moeten droppen.

En IP Spoofing is eigenlijk gewoon een 'bug / undocumented feature / onvoorzien security issue' in IPv4 en is echt niet de 'hoofdreden' voor IPv6. Zie voor de wereld van verschil tussen IPv4 en IPv6 simpelweg google !)

En IP Spoofing is prehistorisch oud, alleen is dit het eerste proggie dat op grote schaal 'semi commercieel' wordt aangeboden. Maar toevallig ooit van een RDoS (= Reflected Denial of Services) gehoord ? Dat is een IP Spoofed (D)DoS ... en bestaat alleen bij de gratie van 'slechte' providers die niet hun netwerk filteren op IP pakketjes met fake afzenders (lees: afzenders die niet in dat deel van het netwerk thuishoren; spoofen met het IP van je 'buurman' is dan alsnog mogelijk ...)

Zie google.com voor meer info, of lees je network essentials er maar op na (tip: Computer Networks v3, Andrew (=Andy, mijn oude prof op de VU) S. Tanenbaum, standaard werk voor ITérs ...).

En mbt. de firewalls, je hebt verschillende 'types' firewalling; niet alleen het blokkeren van IPs en/of poorten, maar ook 'packing inspecting' firewalling; ofwel het checken van de inhoud (en header) van elk IP pakket ... denk maar niet dat je WinXP firewall iets tegen IP Spoofing kan doen hoor ! Want een spoofer die weet wanneer, vanaf welke poort naar welk IP + poort jij een verbinding hebt( middels bv. sniffen), kan je flink flessen !
Het zuigt juist als je niet kan spoofen, het gebruik van verschillende verbindingen en die samen te nemen wordt vrij veel gebruikt. Hierdoor heb je een betere upload.

IP Spoofing is helemaal geen security issue, het is juist een feature wat nodig is om te kunnen routeren. Het zou inderdaad uitgezet kunnen worden voor gebruikers, maar er zijn ook legale toepassingen hiervoor (zie boven)
Het is ook heel simpel uit te schakelen.
Ik heb me er zelf wel eens in zitten te verdiepen en als je provider ff zijn router insteld dat hij alleen packetjes door stuurd waar het afzender adres ook de afzender is dan kan er al niet meer gespoofd worden.
Ik denk ook dat dit programma alleen op Win2k/ WinXP zal draaien omdat Win9x geen volledige toegang tot de tcp/ip stack bied.
Critici vragen zich nog steeds af waarom Win2k/ XP dat wel hebben omdat de meeste scriptkiddies hier juist van gebruik maken.

BTW *nix systemen hebben het altijd al gehad.
Hmpfz dit soord zaken vallen dus onder de beginners cursus ISP beheer. En worden igg bij xs4all* uitgefilterd ( egress)


Dit kan je dus proberen maar je pakketen worden gedropt als invalid.

* Helaas :)
Daar is ie dan hoor: het goedkope alternatief
voor het dure Invisilan :+ :

Amsterdams bedrijf maakt netwerken 'onzichtbaar'

Invisilan stuit op veel kritiek van experts

De techniek is wat anders, maar het doel veelal
hetzelfde.
Wat zullen die mensen balen zeg...
Het doel is niet 100% hetzelfde.
Invisilan zet als het ware een WAn op[ dat meerdere malen per seconden van IP veranderd. Alleen de mensen die deel uitmaken van dat WAN weten naar welk IP er verhuist gaat worden. Op deze manier is het dus niet mogelijk om geDost te worden of dergelijke. Het normaal deel uit maken van het internet zal er ook niet in zitten maar daar is het ook niet voor bedoeld. Een WAN dat voor de rest van de internetwereld onzichtbaar is is nl het doel van Invisilan.

Dit programma is echter wel letterlijk bedoeld om met een niet te achterhalen IP gebruik te maken van het Internet. Waar Invisilan een dynamische brug maakt geeft NConvert een valse naam op. :)
Hmmm, misschiens is dit wat...
http://www.entreelibre.com/gray-world.net/papers/ccintcpip.txt

Voor source scroll naar beneden... }>
Lijkt me sterk dat dat 't is:
/* Covert_TCP 1.0 - Covert channel file transfer for Linux
* Written by Craig H. Rowland (crowland@psionic.com)
* Copyright 1996 Craig H. Rowland (11-15-96)
* NOT FOR COMMERCIAL USE WITHOUT PERMISSION.
Uit 1996?? ;)
Zou er iemand dit kunnen compileren, heb namelijk geen c compiler op mijn pc momenteel :(

Thanks, ik wil wel eens zien of het echt goed werkt en of dit echt het juiste progje is!
normaal laat een spoof info achter. als je een spoof doet krijg je een reply en in de packages die je terug krijgt met een hexkey kun je 'm "inlezen" en alsnog info eruit halen. lees bijv. van nmap de manual door daar staat meer info erover hoe het functioneerd.
dit lost het blijkbaar op.
ik denk dat ipv6 complexer is te spoofen dan ipv4 en dat de reden ervoor is
Nou ik zou zo'n programma ook wel willen gebruiken hoor! Ik heb niets te verbergen, maar asl je op mijn firewall kijkt wat daar allemaal tegenaan tikt (en wellicht hier en daar doorlaat) vind ik dat toch wel erg. In principe surf ik alleen op het internet op zoek naar nieuwtjes in computerland. Het is dan vrij irritant om te merken dat er zoveel mensen geintresseerd zijn in wat er op mijn computer te vinden is. Je moet toch wel erg triest zijn om te willen weten wat er bij een argeloze partiuliere netsurfer op zijn pc'tje huist. "GET A LIFE en laat mij met rust" zeg ik dan.

Kortom je hoeft dus niet persee iets te verbergen te hebben om gebruik te willen maken van dergelijke software. Je moet ook als argeloze internet gebruiker gewoon steeds verder gaan om te voorkomen dat mensen je privacy schenden.
Niet alle dingen die je firewall aangeeft zijn daadwerkelijk "aanvallen" van mensen. Veel scans worden gedaan door wat minder subtiel geconfigureerde services die op internet broadcasten naar willekeurige computers, dit zijn echter zogenaamde legitieme scans, niet bedoeld om je computer te kraken.

IP Spoofing maakt je computer niet onzichtbaar op het internet, het maakt je alleen als client onzichtbaar voor de server die je aan het "gebruiken" bent. Je zichtbaarheid op het internet kan wel door een firewall beïnvloed worden. Maar zichtbaarheid zegt weinig over veiligheid.

Als je echt onzichtbaar wil zijn op het internet moet je je firewall pakken en al je poorten dichtzetten, of je trekt gewoon de stekker uit je internetverbinding. Dan weet je pas zeker dat je niet gehackt wordt via internet. Ik blijf zelf van de grappige exe files in mailtjes af, installeer de laatste security updates, druk niet op "Ja" bij ieder pop up scherm, en gebruik rare tekens in mijn wachtwoorden. Veel simpeler dan IP spoofing of een firewall! :)
Nou daar heb jij wel gelijk in hoor. Het ligt ook inderdaad wel besloten in je eigen surfgedrag hoeveel narigheid je daadwerkelijk over je heen krijgt. Maar het blijft wel jammer dat je zo alert moet zijn tijdens het surfen. Maar goed ook daarin had je gelijk: je kunt altijd de stekker eruit trekken ja..... ;)
Als ik zo vrij mag zijn, ik geef mij de zelfde omschrijving van computer gebruik :).

Maar als jij je IP gaat spoofen dan veroorzaak jij toch een veel grotere interesse naar je spulletjes achter je echte IP.

* 786562 Sugadaddy
geen van de mensen die je firewall ziet is geinteresseerd in jouw pc,

mannetjes scannen gewoon een hele range ip adressen op zoek naar het openstaan van een bepaalde service/trojan/server..
jij zit toevallig in die range adressen, maar je bent verder niet interessant omdat je waarschijnlijk geen snelle upstream hebt.

ik zou gewoon me pc goed afstellen en je firewall uitzetten, als je een beetje oplet en nadenkt heb je die gewoon niet nodig.
Misschien iets voor de Spaanse P2P gebruikers die nu door de RIAA worden gedaagt? ;)
Nee, helaas heeft de poster op Tweakers het artikel dermate slecht weergegeven dat het originele artikel compleet verkeerd uitgelegd wordt.

De applicatie is bedoeld voor het versturen van (niet al te grote) berichten/data tussen twee machines, gebruik makend van een derde. Hoewel de applicatie 'covert' suggereert is, zal de derde machine toch snel in de gaten kunnen hebben dat er iets mis is.

Wat de app doet is het volgende:

Vanaf machine A wil men een bericht naar machine B sturen. Machine A stuurt een IP pakket naar machine C met als afzender machine B. In dit bericht zit in een bepaald IP dataveld het bericht verstopt. Machine C ontvangt het, maar kan er niet veel mee en stuurt daarom een reactie terug. Uiteraard gaat deze reactie naar machine B, want C denkt dat dit de afzender was. het dataveld uit het originele pakket blijft behouden, of tenminste herleidbaar uit de reactie van C naar B.

Niet iets wat je met veel data (dus P2P/kazaa achtig) wilt doen, maar puur het sturen van commando's e.d. (Denk aan Zombienets e.d.). Leuk, maar niet heel vernieuwend, dergelijke technieken zijn al lang geleden beschreven.
Erg duidelijke uitleg... Maar om deze techniek te perfecteren, neem je gewoon iedere keer een andere 'C'. Genoeg webservers en andere PC's om een aantal jaren met elkaar te praten voor je ze voor een 2e keer moet gebruiken.

De enige die dan nog kan zien dat er iets niet helemaal 100% aan de hand is, is je provider, aangezien die paketjes met IP's langs ziet komen die niet in hun adress space zitten. Aan de andere kant, als ISP's DAT zouden controleren, zouden we ook geen last meer hebben van DoS attacks met gespoofte IP's en hier heeft 99% van de ISP's ook niets aan gedaan.
Dat lijkt mij storend voor "C" Levert dit nog vertraging voor "C" op, omdat hij het signaal moet verwerken? Als mensen dit maar genoeg doen naar "C" heeft die daar serieus onder te lijden lijkt mij?
Als je bedenkt dat alleen het ISN (soort volgnummer) gebruikt wordt voor de boodschap, kun je je voorstellen dat er een hoop onnodige communicatie plaatsvindt, die door C afgehandeld moet worden.

Ik heb me nog niet verdiept in de exacte communicatie, maar of het echt veel overlast zal bezorgen hangt natuurlijk van de implementatie af.
Stuur je alleen maar SYN pakketten naar rare poortnummers op host C, die op de betreffende poorten niets aanbiedt, dan zal het opvallen. Stuur je SYN pakketten naar een bekende, openstaande poort (poort 80, als C een webserver is bijvoorbeeld) dan valt het wel mee.

Hoe dan ook, als je een complete MP3 file via een 'C' stuurt richting B, dan zal C gaan er een hoop vreemde te verwerken krijgen en hier dus best last van kunnen hebben :P.
Sinds wanneer is de RIAA atief in Spanje ?

RIAA is toch Amerikaans ? :?
Hmm misschien heeft spanje wel zo'n zelfde uitleveringsverdrag als nederland. Nu kan het AD het behoorlijk opgeklopt hebben, maar het zal theoretisch wel mogelijk zijn. Het verhaal ging als volgt, een meisje geeft een amerikaan softdrugs omdat ie blijft aandringen, en wordt opgepakt omdat ze amerikaan aanzet tot drugsgebruik. Dat zou dus ook kunnen met filesharing.
RIAA is Amerikaans. Maar dat neemt niet weg dat vergelijkbare organisaties in Europa ook dergelijke stappen ondernemen.

Voor de RIAA ooit tot dergelijke actie kwam zijn er al een 50-tal Denen veroordeeld tot geldboetes na het gebruik van Kazaa en nu dus ook een stuk of duizend Spanjaarden. Of de invloed van de RIAA zover rijkt dat ze van andere landen kunnen eisen dat ze optreden tegen filesharing weet ik niet.

Feit blijft dat zelfs al zetten alle Amerikanen hun Kazaa op "download only" (wat dus niet te controleren valt) er meer Europeanen (en Aziaten) op internet zitten en het delen van bestanden altijd zal blijven bestaan.

Verder moet je denk ik niet de illusie hebben dat je in Nederland 100% veilig zit. Het weer kan zo omslaan......
Vooral black hats, criminele hackers, zouden baat hebben bij de nieuwe techniek.
En mensen die niet gehackt willen worden ook.. denk ik :)
Nee hoor. Een server die spooft, zal niet veel hits krijgen, lijkt mij zo...
Alleen de mensen die deel uitmaken van dat WAN weten naar welk IP er verhuist gaat worden. Op deze manier is het dus niet mogelijk om geDost te worden of dergelijke.
Wat dacht je van een stortvloed van pakketten op het broadcast adres ? OK dan ligt meteen heel het netwerk plat maar zoiets vinden criminele hackers ook best leuk.

Als je een ICMP pakket stuurt naar het broadcastadres en je weet dat je een linuxserver moet hebben voor de gevoelige gegevens dan onderzoek je gewoon alle replies met OS fingerprinting en als er maar één linuxpc staat kun je met een scriptje dat systeem toch redelijk effectief stalken ook al veranderd het ip telkens.

Of je creert gewoon voor ieder mogelijk ip in een subnet een thread in je hack programma en probeert zo een patroon te ontdekken of in ieder geval die linuxserver aan te vallen.

Ik las laatst op Packetstorm ook iets over DHCP spoofing.
Als Piet naar zijn werk een laptopje meeneemt en de DHCP server moet zeer veel PC's bedienen (dat zal vaak voorkomen in een groot bedrijf) dan is Piet na het doen van een aanval ontraceerbaar. Zeker als Piet tussentijds nog een paar keer van IP verwisseld. Of Piet kan naar een Wifi netwerk rijden, dan zal hij ook nooit gevonden worden als hij dat maar een of een paar keer doet.

En als Piet hetzelfde adres als afzender gebruikt of een adres wat bv. wel degelijk in het adresbereik van xs4all ligt, lijkt het me moeilijk te filteren.

Bovendien zal het anti-spoofing in IPv6 alleen maar personen aanmoedigen servers te hacken en argeloze surfers te gebruiken voor aanvallen.

Zo zijn er nog legio mogelijkheden te bedenken.
Dit valt uiteraard bijna allemaal een beetje tegen te gaan maar het gaat maar om het idee...
En als Piet hetzelfde adres als afzender gebruikt of een adres wat bv. wel degelijk in het adresbereik van xs4all ligt, lijkt het me moeilijk te filteren.
Portsecurity/acl's.. best standaard.


Als provider dien je verkeer naar je broadcast adres te filteren. Mensen van CERT onderzoeken (of onderzochten) dit regelmatig, omdat hiermee zogenaamde amplification attacks kunnen worden uitgevoerd. Als ze zoiets vonden waarschuwden ze de administrators van het betreffende blok.

IP spoofing is voor remote aanvallen niet erg handig, tenzij dit met een enkel pakket kan worden gedaan (wat zeer weinig voorkomt, mssql slammer is echt een uitzondering)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True