Wykrywanie IP-Cloakingu.

[jez]

Witajcie,

Czy istnieją/czy znacie metody pozwalające na podmienienie IP oglądającego lub wtrącenie do nazwy hosta ciągu znaków?

Chodzi mi konkretnie o IP-Cloaking dla Onetu.

Pozdrawiam, J.

[Pasja]

żeby wykryć na google używam user agent swicher (dodatek do firefoxa) dzięki czemu przeglądarka przedstawia się jako robot google. Można dowolnie dodawać/usuwać nowych "agentów".

[EDDY]

Chyba nie zrozumiałeś, chodzi o przedstawianie się pod innym IP.

[Pasja]

hmmm nie widze technicznie możliwości zmiany IP (nie mam tu na myśli proxy, tylko zmiane na konkretny IP)

[piotrek]

jez w innym wątku tego forum _ash_ napisał że takie coś nazywa się "IP spoofing" o ile to to samo co chciałbyś wykonać

Znalazłem Ci definicję

"A technique used to gain unauthorized access to computers, whereby the intruder sends messages to a computer with an IP address indicating that the message is coming from a trusted host. To engage in IP spoofing, a hacker must first use a variety of techniques to find an IP address of a trusted host and then modify the packet headers so that it appears that the packets are coming from that host."

Zdaje się jednak, że nie powinno się tej techniki praktykować więc nie polecam :roll: poza tym kompletnie się nie znam na tych sprawach.

[kotosinski]

nie da rady ...ipspoofing ludziki..

sama podmiana adresu nie stanowi problemu, problem leży w tym, że serwer odpowie na ten adres, z którego dostał zapytanie (ten podmieniony) - czyli ty tej odpowiedzi nie otrzymasz

[jez]

Dziękuję Piotrze,

Idźmy dalej, poprowadzę znów jako laik - kompletnie się na tym nie znam.

Co zatem determinuje nazwę hosta?

Jak jest ona ustawiana i wyliczana z IP?

Czy użytkownik ma na nią wpływ?

Dążę do tego, że jeżeli da się w jakikolwiek sposób zmienić choć część nazwy własnego hosta (by zawarty był w niej ciąg tekstu charakterystyczny dla botów), istnieje spore prawdopodobieństwo oszukania niewysublimowanego skryptu.

Pozdrawiam, J.

[_ash_]

Co zatem determinuje nazwę hosta?

Jak jest ona ustawiana i wyliczana z IP?

Czy użytkownik ma na nią wpływ?

To raczej odwrotnie... IP jest uzyskiwany z nazwy hosta dzieki DNS. I to IP jest najwazniejszy dla identyfikacji komputera. Dlatego podejrzewam, ze nawet jesli udaloby sie oszukac na nazwie hosta, to i tak IP cloaking (jak sama nazwa wskazuje ) bierze pod uwage numer IP, a nie nazwe hosta.

Co do IP spoofing'u, to jak wynika z definicji powyzej, nie jest to sprawa calkiem prosta i wymaga opracji bezposrednio na pakietach przesylanych do servera. Jak napisal kotosinski, server wtedy odpowie na podany adres, co tez jest do obejscia, ale do tego juz naprawde trzeba sie swietnie znac na sieci i protokolach, a do tego niezle napracowac. Chyba dla sprawdzenia onetu sie to nie oplaca

[EDDY]

Może Onet, to tylko przykrywka;)

[pchel]

Czy zastosowanie IP-cloakingu ma jakikolwiek sens....?

Jak wiadomo skrypty opierające się na IP-cloakingu działąją albo na IP listach, albo poprzez zwracanie nazwy hosta odwiedzającego.

Sposobó na wykrycie IP-cloakingu jest wiele, jak również każdy sposób ma swój stopień trudności.

Jak ktoś już tutaj wspomniał wysłanie sfałszowanego pakietu z spreparowanym źródłowym numerem IP będzie skutkować odpowiedzią serwera na te zapytanie pod spreparowany numer IP.

Niedojdzie nawet prawdopodobnie do transmisji na warstwie protokołu HTTP - komputer o sfałszowanym numerze IP odrzuci transmisje bo jej nawet nie zaczynał i wyśle pakiet z ustawioną flagą RST - po czym transmisja zostanie przerwana.

IP-Cloaking ma sens w przypadku transmisji danych protokołem UDP (jest to protokół, w którym dotarcie pakietu do hosta docelowego nie jest gwarantowane. Brak jest praktycnzie jakich kolwiek mechanizmów kontroli przepływu i ponowienia transmisji w razie gubienia pakietów). Protokół ten jest dość "niebezpieczny" ze wzgl na występowania różnego rodzaju taków typu odmowa usługi (DoS).

Innym przypakiem podrobienia źródłowego numeru IP jest fakt podrobienia zapytań DNS o nazwe hosta (w przypadku skryptu opierającego się o nazwy hostów). Metoda ta opiera się na monitorowaniu zapytań komputera o numery IP i wcześniejszym odpowiadaniu na nie zanim zrobi to serwer DNS. Jest jedno ale... (a nawet dwa ) po pierwsze ma to sens kiedy podrabiamy zapytania z sieci lokalnej (wtedy mamy większe szanse, że odpowiemy na nie szybicje niż zrobi to serwer DNS), po drugie - prawdopodobnie serwer ma już w swojej "bazie" informacje o danych dla hosta (zwłaszcza google, onet wp. itd....), więc nie bedzie wysłał zapytań o nazwe hosta, którego już tak naprawdę zna. W tym momencie wchodzi w rachubę tylko przejecie częsciowej kontroli nad danym serwerem.... bleee

Jak narazie wykrycie IP-cloakingu jest naprawde trudne, ale wcale nie do zrobienia.

Są sposoby i nawet czasem wcale nie takie trudne....