Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 13. Nov 2018 20:53

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: wlan + identity cloning?
BeitragVerfasst: 08. Dez 2005 23:42 
Hallo zusammen!
Ich habe in den letzten Wochen begonnen mich etwas intensiver mit Netzwerken, Sicherheit und co zu beschäftigen und heute in der Uni kam mir ein "was wäre wenn" Gedanke:

Wenn ich das richtig verstanden habe, ist es ja ohne weiteres möglich ein MAC-Adresse zu verändern und die IP-Adresse kann sowieso frei zugewiesen werden.
Wenn man nun in einem WLan (BSS/ESS Topologie) hängt in welchem ja sämtliche Pakete von allen Clients in Reichweite empfangen werden können, wüsste ich gerne was passiert, wenn jemand sich die gleiche IP und gegebenenfalls auch noch MAC-Adresse wie ein bereits angemeldeter Client zuweist? Wird hierbei sozusagen die Identität des ersten Clients 'geklont' und es arbeiten jetzt zwei Rechner unter einer IP was dann vom Server/AccessPoint auch nur als einzelner Client erkannt wird?
Falls das so ist, was passiert, wenn ich beispielsweise gerade meine eMails abrufe, zuvor aber meine ID geklont wurde??
Wenn das alles aber so nicht funktioniert, durch welche Mechanismen wird das ganze verhindert/unterbunden?
Würde mich sehr über Gedanken/Links/Stichworte... zu diesem Thema freuen.

Vielen Dank & Gruß
Marko


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 09. Dez 2005 0:49 
Zitat:
Wenn man nun in einem WLan (BSS/ESS Topologie) hängt in welchem ja sämtliche Pakete von allen Clients in Reichweite empfangen werden können, wüsste ich gerne was passiert, wenn jemand sich die gleiche IP und gegebenenfalls auch noch MAC-Adresse wie ein bereits angemeldeter Client zuweist? Wird hierbei sozusagen die Identität des ersten Clients 'geklont' und es arbeiten jetzt zwei Rechner unter einer IP was dann vom Server/AccessPoint auch nur als einzelner Client erkannt wird?
Prinzipiell ja - die beiden Rechner koennen nicht auseinander gehalten werden. Allerdings fällt das dem jeweils anderen Client sofort auf, da bei einer ARP Anfrage ja dann auch ein Kollege antwortet, der nicht antworten sollte. Dem Server kann das somit zwar auch auffallen, da aber jeweils die gleiche MAC-Adresse zurueckgegeben wird, verwirft er u.U. das zweite Paket. Haengt vermutlich von der Implementierung ab.
Zitat:
Falls das so ist, was passiert, wenn ich beispielsweise gerade meine eMails abrufe, zuvor aber meine ID geklont wurde??
Hmm, gute Frage. Gehen wir das doch mal durch. Da die Verbindung von dir ausgeht, kann auch nur dein Rechner was mit der Antwort des Servers anfangen. Der andere Rechner sieht zwar die Antwortpakete, kann sie aber keiner aktiven Verbindung zuordnen. Daher sollte deine Verbindung ganz normal weiterlaufen, solange der andere Rechner die Pakete verwirft.
Verwirft er sie nicht, sondern antwortet mit irgendwelchen NAKs oder einem RST, so kann er die Verbindung beenden oder fuer massive Stoerungen sorgen. Wie sich ein Rechner laut RFC verhalten sollte, wenn er ungueltige Pakete erhaelt, die keiner Verbindung zugeordnet werden koennen, ist mir leider im Moment nicht bekannt. Ich vermute aber, dass sie verworfen werden.

Gruss,
Alex


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 14. Dez 2005 11:14 
Hm, ok das heisst also, dass die eMails nicht wirklich empfangen werden bzw ein Sniffer dann weitaus effektiver wäre um da mitzulesen (was wiederum das cloning überflüssig macht).

Wie schaut aber das Ganze aus, wenn nicht ein Client sondern ein Server geklont wird?
Egal ob jetzt nur ein simpler Dienst wie echo oder eben sogar etwas wie httpd angeboten wird, was passiert hier?
Bekommt ein Client der versucht auf einen solchen (bzw zwei solche) Server zuzugreifen nur Fehler, da sich die beiden TCP-Handshakes gegenseitig behindern?
Was, wenn ein Server schneller ist als sein Klon und der Handshake komplett durchgeführt wird, werden dann die Pakete des zweiten Servers ignoriert da sie eine falsche Sequenz-number haben? Oder wird dann auch die bestehende Verbindung durch etwaige RSTs vom zweiten Server unterbrochen?
Falls solch ein ID Hijacking des Servers möglich wäre, welche Möglichkeiten gibt es so etwas zu verhindern bzw als Client zu erkennen dass man mit einem falschen Server connected ist?

Falls das jetzt alles schon zu kompliziert zum hier erklären wird, bin ich auch über Links zu entsprechenden Artikeln, Texten ... oder den passenden RFCs dankbar!

Gruß

Marko


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de