1. Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!
    Verberg deze melding

Smurf ... IP Spoofing ?? wat is dat ?

Discussie in 'Internet - Eigen netwerk' gestart door RLF, 17 apr 2004.

Niet open voor verdere reacties.
  1. RLF

    RLF Forum Member

    Weet iemand wat wat Smurf en IP Spoofing is ?

    Onderstaande meldingen vindt ik im mijn router-log en ik heb geen idee wat
    ik me hierbij moet voorstellen.

    04/17/2004 01:09:25 **IP Spoofing** 127.0.0.1, 80->> 212.xx.xx.xx, 1301
    ( 212.xx.xx.xx is mijn eigen IP-address ).

    04/15/2004 10:47:29 **smurf** 132.170.6.0, 13822->> 192.168.x.x, 47127


    RLF
     
  2. IP Spoofing

    Met deze techniek kaapt een cracker iemands IP-adres. Crackers kunnen ongeautoriseerde toegang krijgen tot andere computers of diensten. De cracker moet eerst een ongebruikt IP vinden en daarna zijn pakket headers modificeren, zodat het lijkt alsof hij daar vandaan opereert. Aan de volgende situatie herkent u IP spoofing: Uw computer probeert verbinding te maken met het internet. Dit blijkt niet mogelijk ondanks dat u zeker weet, dat u het juiste IP nummer gebruikt en alles technisch in orde is. U krijgt een bericht van het systeem, dat het IP waar u om vroeg al in gebruik is. U weet nu dat uw IP is gekaapt. Dial-up gebruikers zullen hier minder last van hebben, aangezien zij voor elke sessie een ander IP-adres toegekend krijgen. Kabel- en ADSL-gebruikers lopen meer risico.
    Vaak heeft het spoofen een tweede reden: het opwekken van een dataoverdracht naar de verkeerde host toe om zo gemakkelijk een DoS-aanval mee te genereren.


    Smurf aanval

    Dit is een techniek waarmee een aanvaller vraagt om antwoorden op PING-requests van zo veel mogelijk computers. Een PING-request is eenvoudig computer, ben je daar?. Een vraag, die honderden keren per seconde verstuurd kan worden. Door een IP te spoofen zorgt de aanvaller ervoor dat de miljoenen antwoorden - die keurig vanuit alle geadresseerde computers terug komen - allemaal naar het IP van het slachtoffer gaan. Deze krijgt zoveel netwerkverkeer te verwerken dat het netwerk vaak plat gaat.
     
  3. RLF

    RLF Forum Member

    Tomas,

    Dank voor je antwoord.
    Wat ik echter niet begrijp in mijn situatie is, dat de IP Spoofing loopt van mijn loopback address (127.xx....) naar mijn - door MK DHCP toegewezen - IP address.
    Dit lijkt mij geen zinvolle "attack" daar e.e.a. binnen mijn LAN plaatsvindt en niet naar buiten.

    Voor Smurf geldt eigenlijk hetzelfde. Hier komt een request van buiten naar binne ( local IP address 192.168.xx.xx ). Mijn Router ziet dit blijkbaar, maar aan de "buitenkant:" is het locale address niet die van mij, maar van MK .

    ... logiesch ? of mis ik watt ?

    RLF
     
  4. Thomas schreef al wat het in principe betekent.

    In dit geval is het niet verontrustend. De IP-spoofing wordt gedetecteerd omdat 127.0.0.1 een ip adres van jezelf is (je localhost interne adres), maar dit adres is op elke computer aanwezig. Normaal blijft zo'n tcp/ip datapakketje binnen in jouw computer en komt niet op de 'buitenlijn'. Jouw router ziet wel zo'n datapakketje en slaat 'alarm'. We hebben in het verleden al eens uitgezocht waar deze pakketjes vandaan komen (aan de hand van het MAC adres) en ze bleken afkomstig te zijn van een interne router op het netwerk en verder ongevaarlijk. (de pakketjes doen niets)

    Die smurf-aanval is een beetje vreemd omdat die aan een 192.168.x.x adres gericht zijn zo te zien en dat zou niet moeten kunnen op het netwerk omdat dit een lokaal adres is en niet gerouteerd wordt. Wel zou het kunnen dat dit ook intern verkeer is op je interne netwerk en dat jouw eigen computer dat 132.170.6.0 ip gebruikt (wat ook weer een vreemd ip is met een .0 op het einde .....) Als dat zo is heb je misschien zelf een trojan of virus op een van de computers op je netwerk, maar dat is gissen omdat me niet duidelijk is waar je dit frame ziet (intern of extern).
     
  5. RLF

    RLF Forum Member

    CeeS,

    Een virus/trojan is vrij onwaarschijnlijk ... al mijn PC draaien op Linux :P
    ( niet onmogelijk .... )

    Kan het zijn dat mijn Router zelf deze ellende veroorzaakt ?
    Ik heb een KOBISHI router ( eigenlijk is het een Edimax BR-6104 ... geloof ik ... )
    Ik heb hiermee een tijd lang NTP time server problemen mee gehad..... kon de server niet vinden en ik kon ook geen andere instellen met als gevolg dat de datum op 1-1-2002 of zoiets bleef hangen.'

    Nu doetie het ineens zomaar wel en nu heb ik ook deze Smrf ellende.
    ( of dit gelijktijdig of gewoon stom toeval is wwt ik niet ).

    De Router zelf werkt verder prima overigens ( gekocht bij Megapool .... hmmm ).

    RLF
     
  6. Jammer genoeg, al ben ik een groot Linux fan, even ergens op wijzen.

    Linux is jammer genoeg ook niet perfect! Al zijn er maar 3 bekende virusen voor linux. Op internet zijn genoeg faq's en progies te vinden waar mee je zo een linux bak onderuit haal. Natuurlijk zijn er ook genoeg programma's waar mee je, anders dan de wel bekende buffer overfloaw, root acces kan krijgen tot een linux/bsd machine. Ik denk dat je zelf dan wel weet wat je allemaal kan doen :( Maar ik neem gewoon aan dat je gewoon je bakken update. Maar jammer genoeg is het dan nog mogenlijk om binnen te lopen al word het steeds moeilijker bij windows.

    Oja, met Free BSD is het mogenlijk om een IP te jatten en die andere jou ip te geven, al kan de beroofde wel problemen krijgen met zijn of haar verbinding

    P.S. Het lijkt op een dns probleem wat je had
     
  7. RLF

    RLF Forum Member

    Zoals ik zelf al had opgemerkt :

    Het is ook niet zo dat ik alles maar open laat staan voor elke gek die een poging wil wagen .
    Al mijn systemen zijn qua security volledig up-to-date en ik heb ook gewoon een firewall.
    Als er "al DRIE" virussen bekend zijn voor Unix/Linux systemen ben ik al onder de indruk.
    .... dat is altijd nog meer als NUL ... evengoed dank voor je waarschuwing

    Terug naar het probleem :
    De messages komen niet uit mijn linux box, maar uit de router-log ( firewall neem ik aan). De router functioneerd ook als DHCP voor het LAN.

    RLF
     
  8. die drie virussen zijn ooit geschreven door 1 van de makers van linux om te testen

    En je router als dhcp server gebruiken heb ik alleen maar slechte ervaringen mee. Je heb dan een zwaar vertraagde dns.... zelfs een niet werkende afentoe
     
  9. RLF

    RLF Forum Member

    Die DNS vertraging Is me niet opgevallen.
    Wat de relatie met de DHCP server in m'n router is weet ik niet ( lease-time="forever" )
    Wat me wel is opgevallen is dat de DHCP wel de HostName van mijn Laptop (Windows) ziet, maar de Hostnames van mijn Linux boxen niet ziet. Geen drama hoor...

    M'n router is vannacht spontaan overgegaan naar 28-2-2004.
    Na wat gerommel heb ik hem weer op de juiste datum ( #**@*%^# ).

    Ik ga maar een "sniffen" op m'n netwerk en tussen m'n router en cable modem denk ik.
    Wellicht levert dat wat op.

    Suggesties zijn nog steeds welkom ...

    RLF
     
  10. Als jouw router dezelfde is als de Edimax BR6104 moet je misschien de firmware upgraden. Oude firmware gaf nogal wat problemen met de Edimax. Bij mij loopt hij nu in ieder geval feilloos en kan ik ook de timeserver gewoon zelf instellen.
     
Niet open voor verdere reacties.

Deel Deze Pagina