Hallo zusammen!
Ich habe in den letzten Wochen begonnen mich etwas intensiver mit Netzwerken, Sicherheit und co zu beschäftigen und heute in der Uni kam mir ein "was wäre wenn" Gedanke:
Wenn ich das richtig verstanden habe, ist es ja ohne weiteres möglich ein MAC-Adresse zu verändern und die IP-Adresse kann sowieso frei zugewiesen werden.
Wenn man nun in einem WLan (BSS/ESS Topologie) hängt in welchem ja sämtliche Pakete von allen Clients in Reichweite empfangen werden können, wüsste ich gerne was passiert, wenn jemand sich die gleiche IP und gegebenenfalls auch noch MAC-Adresse wie ein bereits angemeldeter Client zuweist? Wird hierbei sozusagen die Identität des ersten Clients 'geklont' und es arbeiten jetzt zwei Rechner unter einer IP was dann vom Server/AccessPoint auch nur als einzelner Client erkannt wird?
Falls das so ist, was passiert, wenn ich beispielsweise gerade meine eMails abrufe, zuvor aber meine ID geklont wurde??
Wenn das alles aber so nicht funktioniert, durch welche Mechanismen wird das ganze verhindert/unterbunden?
Würde mich sehr über Gedanken/Links/Stichworte... zu diesem Thema freuen.
Vielen Dank & Gruß
Marko
wlan + identity cloning?
-
Alex.MH
Prinzipiell ja - die beiden Rechner koennen nicht auseinander gehalten werden. Allerdings fällt das dem jeweils anderen Client sofort auf, da bei einer ARP Anfrage ja dann auch ein Kollege antwortet, der nicht antworten sollte. Dem Server kann das somit zwar auch auffallen, da aber jeweils die gleiche MAC-Adresse zurueckgegeben wird, verwirft er u.U. das zweite Paket. Haengt vermutlich von der Implementierung ab.Wenn man nun in einem WLan (BSS/ESS Topologie) hängt in welchem ja sämtliche Pakete von allen Clients in Reichweite empfangen werden können, wüsste ich gerne was passiert, wenn jemand sich die gleiche IP und gegebenenfalls auch noch MAC-Adresse wie ein bereits angemeldeter Client zuweist? Wird hierbei sozusagen die Identität des ersten Clients 'geklont' und es arbeiten jetzt zwei Rechner unter einer IP was dann vom Server/AccessPoint auch nur als einzelner Client erkannt wird?
Hmm, gute Frage. Gehen wir das doch mal durch. Da die Verbindung von dir ausgeht, kann auch nur dein Rechner was mit der Antwort des Servers anfangen. Der andere Rechner sieht zwar die Antwortpakete, kann sie aber keiner aktiven Verbindung zuordnen. Daher sollte deine Verbindung ganz normal weiterlaufen, solange der andere Rechner die Pakete verwirft.Falls das so ist, was passiert, wenn ich beispielsweise gerade meine eMails abrufe, zuvor aber meine ID geklont wurde??
Verwirft er sie nicht, sondern antwortet mit irgendwelchen NAKs oder einem RST, so kann er die Verbindung beenden oder fuer massive Stoerungen sorgen. Wie sich ein Rechner laut RFC verhalten sollte, wenn er ungueltige Pakete erhaelt, die keiner Verbindung zugeordnet werden koennen, ist mir leider im Moment nicht bekannt. Ich vermute aber, dass sie verworfen werden.
Gruss,
Alex
-
marko_q
Hm, ok das heisst also, dass die eMails nicht wirklich empfangen werden bzw ein Sniffer dann weitaus effektiver wäre um da mitzulesen (was wiederum das cloning überflüssig macht).
Wie schaut aber das Ganze aus, wenn nicht ein Client sondern ein Server geklont wird?
Egal ob jetzt nur ein simpler Dienst wie echo oder eben sogar etwas wie httpd angeboten wird, was passiert hier?
Bekommt ein Client der versucht auf einen solchen (bzw zwei solche) Server zuzugreifen nur Fehler, da sich die beiden TCP-Handshakes gegenseitig behindern?
Was, wenn ein Server schneller ist als sein Klon und der Handshake komplett durchgeführt wird, werden dann die Pakete des zweiten Servers ignoriert da sie eine falsche Sequenz-number haben? Oder wird dann auch die bestehende Verbindung durch etwaige RSTs vom zweiten Server unterbrochen?
Falls solch ein ID Hijacking des Servers möglich wäre, welche Möglichkeiten gibt es so etwas zu verhindern bzw als Client zu erkennen dass man mit einem falschen Server connected ist?
Falls das jetzt alles schon zu kompliziert zum hier erklären wird, bin ich auch über Links zu entsprechenden Artikeln, Texten ... oder den passenden RFCs dankbar!
Gruß
Marko
Wie schaut aber das Ganze aus, wenn nicht ein Client sondern ein Server geklont wird?
Egal ob jetzt nur ein simpler Dienst wie echo oder eben sogar etwas wie httpd angeboten wird, was passiert hier?
Bekommt ein Client der versucht auf einen solchen (bzw zwei solche) Server zuzugreifen nur Fehler, da sich die beiden TCP-Handshakes gegenseitig behindern?
Was, wenn ein Server schneller ist als sein Klon und der Handshake komplett durchgeführt wird, werden dann die Pakete des zweiten Servers ignoriert da sie eine falsche Sequenz-number haben? Oder wird dann auch die bestehende Verbindung durch etwaige RSTs vom zweiten Server unterbrochen?
Falls solch ein ID Hijacking des Servers möglich wäre, welche Möglichkeiten gibt es so etwas zu verhindern bzw als Client zu erkennen dass man mit einem falschen Server connected ist?
Falls das jetzt alles schon zu kompliziert zum hier erklären wird, bin ich auch über Links zu entsprechenden Artikeln, Texten ... oder den passenden RFCs dankbar!
Gruß
Marko