Hallo,
in letzter Zeit verstehe ich so einige Dinge nicht so richtig. Vielleicht werde ich ja alt. Mir begegnen zunehmend Geraete (derzeit sind es derer zwei), die man einfach in das gleiche subnet wie einen anderen Rechner steckt und an diesem Rechner dann ein
# arp -s 10.0.1.123 00:11:22:33:44:55
startet. Anschliessend kann man sich ueber diese IP# per Browser/Telnet/$whatever zum Geraet (mit der MAC-ID) verbinden und es richtig konfigurieren. Wie geht denn sowas?
Ich weiss von mindestens einem der Geraete, dass es sich um ein Linux handelt. Ich hab’s ja soweit kapiert, das der lokale Rechner damit einen Eintrag in seiner ARP table hat und alle Pakete an diese IP# folgerichtig in Paketen mit dieser MAC-ID einpackt und auf’s Ethernet gibt. Der gegenueberliegende Netzwerktreiber sieht seine MAC, fischt das Ding aus dem Kabel, schmeisst die aeussere Huelle weg und reicht das IP-Paket hoch in den IP stack. Doch spaetestens der sollte doch „Haeh, was’n das, bin ich doch gar nicht, weg damit.“ machen.
Ich hab gestern (zugegeben in unmittelbarer Naehe mehrerer Biers) darueber diskutiert, da wurde mir versichert, dass sich der IP stack gar nicht fuer die src-IP# eines Pakets interessiert und blindlings alles annimmt, was ihm der Netzwerktreiber hochreicht. Man koenne ihm das irgendwo unter /proc/sys/* abgewoehnen (weil’s natuerlich schon ein gewisses Angriffspotential hat), aber so richtig will ich daran noch nicht glauben. Gegenbeweis: dieses Verhalten muesse jeden IP stack, bei dem sich eine NIC im promiscuous mode befindet, zum Austicken bringen, weil er ploetzlich auf allen Muell aus dem Kabel reagieren wuerde, und sei’s mit sowas wie ICMP port unreachable.
Aber wie denn dann? Doch Magie zwischen ARP und routing?
Danke,
Gruss vom Frank.
Hallo,
Ich hab gestern (zugegeben in unmittelbarer Naehe mehrerer
Biers) darueber diskutiert, da wurde mir versichert, dass sich
der IP stack gar nicht fuer die src-IP# eines Pakets
interessiert und blindlings alles annimmt, was ihm der
Netzwerktreiber hochreicht. Man koenne ihm das irgendwo unter
/proc/sys/* abgewoehnen (weil’s natuerlich schon ein gewisses
Angriffspotential hat), aber so richtig will ich daran noch
nicht glauben. Gegenbeweis: dieses Verhalten muesse jeden IP
stack, bei dem sich eine NIC im promiscuous mode befindet, zum
Austicken bringen, weil er ploetzlich auf allen Muell aus dem
Kabel reagieren wuerde, und sei’s mit sowas wie ICMP port
unreachable.
In der „sniffing faq“[1] wird dieses Verhalten als eines zur Endeckung von Sniffern beschrieben.
HTH,
Sebastian
[1] http://linuxsecurity.net/resource_files/intrusion_de…
Ich hab gestern (zugegeben in unmittelbarer Naehe mehrerer
Biers) darueber diskutiert, da wurde mir versichert, dass sich
der IP stack gar nicht fuer die src-IP# eines Pakets
interessiert und blindlings alles annimmt, was ihm der
Netzwerktreiber hochreicht. Man koenne ihm das irgendwo unter
/proc/sys/* abgewoehnen (weil’s natuerlich schon ein gewisses
Angriffspotential hat), aber so richtig will ich daran noch
nicht glauben. Gegenbeweis: dieses Verhalten muesse jeden IP
stack, bei dem sich eine NIC im promiscuous mode befindet, zum
Austicken bringen, weil er ploetzlich auf allen Muell aus dem
Kabel reagieren wuerde, und sei’s mit sowas wie ICMP port
unreachable.
In der „sniffing faq“[1] wird dieses Verhalten als eines zur
Endeckung von Sniffern beschrieben.
Hey… ich weiss, aber das war doch gar nicht die Frage… ich hab aber nochmal drueber nachgedacht und bin nach upgrade meines Logikmoduls selber drauf gekommen: frueher hat IP stack alles angenommen, was der NIC-Treiber hochgegeben hat, das hat man ihm abgewoehnt, weil es schwachsinnig bis gefaehrlich ist, aber dieses „feature“ kann man ihm abgewoehnen. Letzeres machen die Geraete per default
Gruss vom Frank.