Guten Morgen,
Beim "Durchstöbern" des Syslogs meines Servers bin ich auf folgenden Eintrag gestoßen:
Dec 8 23:19:59 chaosserver kernel: martian source 217.232.122.31 from 192.168.1.2, on dev ppp0 Dec 8 23:19:59 chaosserver kernel: ll header: 45:00:00:38
Diese habe ich noch niemals vorher gesehen und taucht mehrmals hintereinander auf. Die IP 217.232.... ist dabei in diesem Moment die vom Provider zugewiesene IP und die IP ...1.2 ist in meinem Netzwerk eigendlich gar nicht vergeben! Mein Internetzugang wird über DSL realisiert. eine ISDN-Karte ist zwar auch im Server eingebaut, diese ist derzeit aber noch nicht konfiguriert. Hat irgendjemand vielleicht eine Ahnung, was diese Meldung zu bedeuten hat? Zur Zeit, als diese fraglichen Meldungen auftauchten, habe ich und ein weiterer Netzwerkteilnehmer gerade Unreal auf einem Server im Internet gespielt :-) Könnte das damit in Verbindung gebracht werden?
Ich hoffe, Ihr könnt mir helfen :-)
Beste Grüße
Thomas Noßmann
On Mon, 09 Dec 2002 08:37:03 +0100, Thomas Nossmann wrote:
Dec 8 23:19:59 chaosserver kernel: martian source 217.232.122.31 from 192.168.1.2, on dev ppp0 Dec 8 23:19:59 chaosserver kernel: ll header: 45:00:00:38
Diese habe ich noch niemals vorher gesehen und taucht mehrmals hintereinander auf. Die IP 217.232.... ist dabei in diesem Moment die vom Provider zugewiesene IP und die IP ...1.2 ist in meinem Netzwerk eigendlich gar nicht vergeben!
Das Paket kommt ueber ppp0 rein mit Quelladresse 192.168.1.2 und Zieladresse 217.232.122.31. Vermutlich hast du ein Netz mit 192.168.1.* direkt an einem lokalen Interface ungleich ppp0 anliegen (ist das so?), wodurch der Kernel das Paket als spoofed (also mit falschem Absender) erkennt, meldet und fachgerecht entsorgt. Du kannst in der Kernel- Konfiguration unter "advanced router" bei "verbose route monitoring" die Meldungen abschalten.
Mein Internetzugang wird über DSL realisiert. eine ISDN-Karte ist zwar auch im Server eingebaut, diese ist derzeit aber noch nicht konfiguriert. Hat irgendjemand vielleicht eine Ahnung, was diese Meldung zu bedeuten hat?
Ohne das Paket zu sehen kann man nur vermuten. Entweder kommt es von einem falsch konfigurierten Rechner oder wurde absichtlich verschickt um irgendwelche Spaesse zu treiben.
Zur Zeit, als diese fraglichen Meldungen auftauchten, habe ich und ein weiterer Netzwerkteilnehmer gerade Unreal auf einem Server im Internet gespielt :-) Könnte das damit in Verbindung gebracht werden?
Gut moeglich. Gibt es fuer Unreal irgendwelche Hacks, wo man den Gegner durch Senden bestimmter IP-Pakete aergern (z.B. killen) kann? Das koennte jemand versucht haben. Bei anderen Online-Spielen gabs sowas schon. Mit NAT rechnet keiner, die Absender-IP waere in dem Fall gerade ungeschickt gewesen. Oder jemand spekulierte auf einen NAT Router und erhoffte sich mit der Absenderadress Zugriff auf bestimmte nur fuer intern gedachte Dienste. Wenn jemand z.B. intern 192.168.100/24 nutzt, aber einen internen Dienst auf dem Router-Rechner fuer 192.168/16 freigibt, kommt man mit einem Absender wie 192.168.1.2 an den Dienst ran solange auf der Kiste keinerlei Filterei betrieben wird. Wenn man als Angreifer zufaellig 192.168.100.2 nutzen wuerde, haette man hingegen Pech.
Du koenntest deinen Rechner per iptables so konfigurieren, dass er auf dem Interface ppp0 gar keine Pakete mit Quelladressen aus den privaten Adressraeumen wie 192.168.*.* (rfc1918) annimmt. Einen generellen Schutz vor gefakten IPs gibts nicht, IP-Stack und Anwendungen muesen damit leben koennen.
Reinhard
Moin allerseits,
> > Dec 8 23:19:59 chaosserver kernel: martian source > 217.232.122.31 from > > 192.168.1.2, on dev ppp0 > > Dec 8 23:19:59 chaosserver kernel: ll header: 45:00:00:38 > >
> Das Paket kommt ueber ppp0 rein mit Quelladresse 192.168.1.2 und > Zieladresse 217.232.122.31. Vermutlich hast du ein Netz mit > 192.168.1.* > direkt an einem lokalen Interface ungleich ppp0 anliegen (ist > das so?),
Jupp, das Netz 192.168.1.* liegt an eth0.
> wodurch der Kernel das Paket als spoofed (also mit falschem Absender) > erkennt, meldet und fachgerecht entsorgt. Du kannst in der Kernel- > Konfiguration unter "advanced router" bei "verbose route monitoring" > die Meldungen abschalten. > > > Mein Internetzugang wird über DSL realisiert. eine > ISDN-Karte ist zwar auch > > im Server eingebaut, diese ist derzeit aber noch nicht konfiguriert. > > Hat irgendjemand vielleicht eine Ahnung, was diese Meldung > zu bedeuten hat? > > Ohne das Paket zu sehen kann man nur vermuten. Entweder kommt > es von einem > falsch konfigurierten Rechner oder wurde absichtlich verschickt um > irgendwelche Spaesse zu treiben.
Das würde also heißen, das ein Paket mit der Quellen-IP 192.168.1.2 über das DSL-Netzwerk zum Router kommt? Aber wie ist das möglich? Pakete mit IP's aus dem privaten Bereich werden doch von den Internet-Routern nicht weitergeleitet? Abgesehen davon hab ich auch eine Firewall laufen, die alles ausser SSH, ftp und http von außen blockt. Ich will damit nicht sagen, das diese FW wirklich sicher ist :-), aber wo könnte man da ein Loch vermuten?
> Du koenntest deinen Rechner per iptables so konfigurieren, dass er > auf dem Interface ppp0 gar keine Pakete mit Quelladressen aus den > privaten Adressraeumen wie 192.168.*.* (rfc1918) annimmt. Einen > generellen Schutz vor gefakten IPs gibts nicht, IP-Stack und > Anwendungen > muesen damit leben koennen.
Wie müßte die Regel für iptables aussehen, um dieses zu verhindern? Ich bin leider nicht in der Lage, mir diese zusammenzubauen, dafür kenne ich mich mit dem Paketfilter zuwenig aus :-)..
Ok, ich wünsch dann noch einen schönen Tag!
Thomas Noßmann
Hallo Thomas!
On Tue, Dec 10, 2002 at 08:53:31AM +0100, Thomas Nossmann wrote:
Wie müßte die Regel für iptables aussehen, um dieses zu verhindern? Ich bin leider nicht in der Lage, mir diese zusammenzubauen, dafür kenne ich mich mit dem Paketfilter zuwenig aus :-)..
Dann schau Dir vielleicht mal "shorewall" an. Damit lassen sich die iptables-Regeln recht komfortabel erstellen.
Bert
Hi Thomas,
On Tue, Dec 10, 2002 at 08:53:31 +0100, Thomas Nossmann wrote:
Das würde also heißen, das ein Paket mit der Quellen-IP 192.168.1.2 über das DSL-Netzwerk zum Router kommt? Aber wie ist das möglich? Pakete mit IP's aus dem privaten Bereich werden doch von den Internet-Routern nicht weitergeleitet?
Die Routingentscheidung basiert auf der Ziel-IP-Adresse. Was als Quell-IP-Adresse im Paket steht, ist Routern normalerweise egal.
bye, Chris
Hi,
* Thomas Nossmann [02-12-10 09:15:04 +0100] wrote:
Das würde also heißen, das ein Paket mit der Quellen-IP 192.168.1.2 über das DSL-Netzwerk zum Router kommt? Aber wie ist das möglich?
Das ist wie mit der Post und den Briefen: du kannst auf jeden Brief, den du irgendwo hin schickst, einen frei waehlbaren Absender draufschreiben. Wenn du einen privaten Briefkasten und ein anonymes Postfach hast, kannst du gefaelschte Absender daran erkennen, dass Freunde ploetzlich Briefe an das Postfach statt an die Privatadresse senden.
Pakete mit IP's aus dem privaten Bereich werden doch von den Internet-Routern nicht weitergeleitet?
"Man soll ein Buch nicht nach seinem Einband beurteilen", oder so aehnlich.
Abgesehen davon hab ich auch eine Firewall laufen, die alles ausser SSH, ftp und http von außen blockt.
Und wie definiert man aussen? Wenn man weiss, dass man beliebige Absender in Pakete schreiben kann und man zwei Netzwerkinterfaces fuer aussen und innen hat, dann definiert man "innen" doch lieber ueber das Input-Interface als ueber den Absender, oder?
bye, Rocco
lug-dd@mailman.schlittermann.de
-
Bert Lange -
Christian Perle -
Reinhard Foerster -
Rocco Rutte -
Thomas Nossmann