Er det lett å fake IP-adresse ved HTTP tilkobling?

[Lurifaksen]

$REMOTE_ADDR (eller noe slikt) henter IP-adresse.

 

Er det lett å fake denne IP-adressen?

 

Er selvsagt enkelt å bruke proxy'er og slikt, men hvor vanskelig er det å kunne besøke scriptet med en bestemt IP-adresse?

 

Lurer litt på å bruke IP-adresse til innlogging i stedet for brukernavn og passord.

Og før noen skal begynne å mase om sikkerhet, så er det ingen krise om folk logger seg inn på andres konto (kan ikke gjøre noe skade, infoen er ikke "konfidensiell). Men hvis det er gjort med et tastetrykk å lage en fake IP-adresse er det likevel ikke en ønsket innloggingsmåte.

 

(og ja, vet selvsagt at det er en forutsetning at IP'en er fast...)

Endret 19. februar 2006 av Lurifaksen

[endrebjo]

(og ja, vet selvsagt at det er en forutsetning at IP'en er fast...)

5628538[/snapback]

Det er vel bare spesielt interesserte som har statisk IP vel?

[Mr. Floppy]

Hvis jeg husker TCP/IP-teorien min riktig, så er det ikke spesielt vanskelig å fake IP-adressen.

 

Den som faker IP-adressen må derimot legge ned en del ressurser for å få svar tilbake fra webserveren din. Husk at webserveren sender svaret sitt til den oppgitte adressen, og hvis den er faket kommer ikke svaret uten videre tilbake til den som faken den.

 

For å få tak i svaret må altså den som faker adressen også "tukle" med routingen til websereren (eller en router i tilknytning til den) slik at han får IP-pakker som sendes til den fakede IP-adressen. Dette er ikke noen lett oppgave.

 

Konklusjonen blir vel at det er ikke vanskelig å sende en forespørsel med en faket IP-adresse til en webserver. Derimot er det svært vanskelig å få tak i svaret webserveren gir.

[Gjest Slettet+6132]

(og ja, vet selvsagt at det er en forutsetning at IP'en er fast...)

5628538[/snapback]

Det er vel bare spesielt interesserte som har statisk IP vel?

5628590[/snapback]

 

Statisk IP er alltid greiest da.

 

Lurifaksen: Jeg ville aldri ha satsa på en løsning basert på IPen. Brukernavn og passord er og blir best, en IP er alt for lett å tukle med

[nree]

Er det mulig å bare skrive inn 123.123.123.123 så får man den IPen??

[Gjest Slettet+6132]

Er det mulig å bare skrive inn 123.123.123.123 så får man den IPen??

5630698[/snapback]

 

Skal nok litt mer enn det til, du må vite hva du gjør. Selv er jeg usikker på hvordan jeg skulle fått det til, men etter litt research ville jeg nok klart det.

[Lurifaksen]

For å få tak i svaret må altså den som faker adressen også "tukle" med routingen til websereren (eller en router i tilknytning til den) slik at han får IP-pakker som sendes til den fakede IP-adressen. Dette er ikke noen lett oppgave.

5628981[/snapback]

I så fall høres det rimelig vanskelig ut?

 

Hjelper jo ikke å fake ip-adressen, hvis du ikke får svaret tilbake.

 

Selvfølgelig - jeg forventer jo ikke at det skal være umulig å hacke seg inn. Men så lenge det kun er eksperter som klarer det, er det ikke noe problem.

 

Er det noen her som hadde klart det f.eks.?

[jorgis]

For å få tak i svaret må altså den som faker adressen også "tukle" med routingen til websereren (eller en router i tilknytning til den) slik at han får IP-pakker som sendes til den fakede IP-adressen. Dette er ikke noen lett oppgave.

5628981[/snapback]

I så fall høres det rimelig vanskelig ut?

 

Hjelper jo ikke å fake ip-adressen, hvis du ikke får svaret tilbake.

 

Selvfølgelig - jeg forventer jo ikke at det skal være umulig å hacke seg inn. Men så lenge det kun er eksperter som klarer det, er det ikke noe problem.

 

Er det noen her som hadde klart det f.eks.?

5631360[/snapback]

 

Husk at de fleste har dynamisk IP, og AOL-brukere har vært kjent for å bli tvunget over på ny IP selv mens de surfer i vei. Så om du baserer login på at brukerne dine har samme IP-adresse alltid, vil du få trøbbel, spesielt siden IP-adresser går på rundgang, og du kan ende opp med at en kjeltring får IP-adressen som er en av dine brukere sine. Bruk noe annet som autentisering i tillegg til IP (brukernavn og passord er fint), ellers ender du opp med at du ikke kan logge inn når IPen din skifter (hvilket den gjør her hver gang routeren restarter).

[Lurifaksen]

Har jo selvfølgelig tenkt på det, men alle har fast IP-alltid - og ikke da "delt fast", men privat IP. Det er altså umulig at noen uvedkommende plutselig skulle få noen andres IP.

[Torbjørn]

ingen av brukerne kan ta ip-adressen til noen av de andre brukerne, hvis du var redd for det

[Lurifaksen]

ingen av brukerne kan ta ip-adressen til noen av de andre brukerne, hvis du var redd for det

5633497[/snapback]

Du mener altså at det faktisk er en sikker løsning også? (dvs, at det ikke er mulig å spoofe IP'en, og samtidig få svar tilsendt til riktig maskin?)

 

Nå er ikke jeg noen ekspert på HTTP tilkoblinger, men det høres jo logisk ut at webserveren sender innholdet tilbake til IP-adressen som spurte om innholdet. Hvis IP-adressen er spoofet, vil jo svaret sendes til den "spoofede" ip-adressen. Det er dermed ingen vits i å spoofe - hvis du skal ha data i retur.

 

I så fall er det jo en sikker løsning - med mindre folk faktisk har brutt seg inn på nettverket hvor IP-adressen stammer (da er det jo strengt tatt de som har sikkerhetsproblem...)

 

Jeg har selvfølgelig ikke tenkt å basere viktige innlogginger på denne metoden , men det er jo interessant og lettvint hvor sikkerhet ikke er kritisk.

Endret 20. februar 2006 av Lurifaksen

[Torbjørn]

En tcp-forbindelse (som alle http forbindelser kommer til å skje over) går fra en ip til en annen. Selvfølgelig.

 

Man kan lett bytte IP ved å bruke proxy-servere eller kanskje ISP rullerer på sine IPadresser.

 

Men det skal mye til at du klarer å få tak i en IP som en annen er registrert under.

 

Problemet er først og fremst at du hele tiden må oppdatere ditt register over hvilken IP som er hvilken bruker.

 

Det vil ikke bli et problem at brukere klarer å få IP'en til andre brukere. Med mindre de har samme ISP og tilfeldigvis rullerer slik at du får en annens. Dette får du vurdere, du kjenner dine brukere.

[Lurifaksen]

Det vil ikke bli et problem at brukere klarer å få IP'en til andre brukere. Med mindre de har samme ISP og tilfeldigvis rullerer slik at du får en annens. Dette får du vurdere, du kjenner dine brukere.

5634083[/snapback]

Nettopp - det var det du skriver i den første setningen her jeg lurte på. Resten er ikke et problem i mitt tilfelle.

 

Slik jeg kan se det, er dette en veldig grei løsning i f.eks. et lokalnett, hvor PC'ene har statiske IP'er (og brukerne ikke tilgang til endring av nettverksinnstillinger).

[Torbjørn]

For lokalnett ville jeg ikke gjort det. Hva om en av dem tar med seg en bærbar en vakker dag? Eller hacker administratorkontoen? booter en Live-CD?

[zandzpider]

fake http ip'en? kan du ikke bruke en proxy da?

[RipZ-]

I teorien er det ikke så veldig vanskelig å "hijacke" en IP. TCP går ganske enkelt på spørringer som blir besvart.

 

Å late som en spørring kommer fra en annen IP er ikke noe problem. Det kan man gjøre ved å modifisere pakkene. Det som er problemet er at serveren sender et svar tilbake som den krever en bekreftelse på at er motatt. Man må derfor kunne lage en falsk bekreftelses i tillegg. Jeg husker ikke konkret hva dette innebar, men det har mye med timing osv for å kunne lage en slik bekreftelsespakke. Hadde en lang artikkel om dette tidligere, men finner den ikke nå.

 

Poenget er iallfall at det er så vanskelig at det praksis talt er umulig. Så det er i grunn ikke noe å bekymre seg for.

 

Edit: Du kan sikkert finne en del gode artikler om ip-spoofing vha. google. Her er en artikkel som kan være verdt en kikk.

http://www.signaltonoise.net/library/ipsp00f.htm

Endret 20. februar 2006 av RipZ-

[jorgis]

Om dette skal brukes på et lokalnett er det jo bare å plukke med seg en laptop og sette opp IPen selv, f.eks. når den rettmessige innehaver av IPen er offline. Ville ha satset på god gammeldags autentisering via brukernavn/passord.

[LateFot]

du kunne jo brukt mac adresse sammen med ip. mac adressen er veldig enkel å forandre. saken blir jo da at man først må bruke laaang tid på å hijacke ip'en, så kommer det da i tillegg en mac adresse som må stemme for å kunne logge inn.

[Gjest Slettet+6132]

du kunne jo brukt mac adresse sammen med ip. mac adressen er veldig enkel å forandre. saken blir jo da at man først må bruke laaang tid på å hijacke ip'en, så kommer det da i tillegg en mac adresse som må stemme for å kunne logge inn.

5639738[/snapback]

 

Om ikke jeg husker heeelt feil virker det slik at når to datamaskiner kommuniserer vil datamaskin 2 kun se mac-adressen til den siste enheten pakken fra datamaskin 1 gikk gjennom.

 

Tenk deg:

 

Datamaskin 1 - Switch - Router - [mange isper og knutepunkt] - Router - Switch - Datamaskin 2

 

Hvis du nå sender en pakke fra datamaskin 1 vil denne først ha mac-adressen til datamaskin 1, så switchens, så routerens osv.

 

Am I right?

Endret 21. februar 2006 av Slettet+6132

[Torbjørn]

dette er riktig, men dette var for et lokalnett hvis jeg forsto det rett