Absender-IP verifizieren (Allgemeine technische Fragen)

[thread]16484[/thread]

Absender-IP verifizieren

Leser: 21

Articles: hide open all | hide show old branches

+12 replies
Gast WasIHacked

2011-07-03 14:00

Wie bekomme ich heraus, ob Client-IP-Adressen (also die Remote) wirklich gültig sind und nicht gefaked?
Bei uns landen Einträge in Kontaktformular und in Blogs, wo die Einträge angeblich von einem Server kommen und nicht aus einem Einwahlpunkt eines Zugangsproviders.

IPs lassen sich ja duch IP-Poisoning fälschen und zwischen geschaltete Proxies können ja auch Header verändern.

Weiß jemand was dazu?
- +2 replies
- rosti
  
  2011-07-03 16:29
  
  User since
  2011-03-19
  3726 Artikel
  BenutzerIn
  
  Hier
  http://rolfrost.de/map/apps/proxy
  stehen ein paar Variablen, welche Du abfragen könntest. Es gibt jedoch keinen wirklich guten Grund, die IP-Adresse des UserAgent in eine Anwendung einzubeziehen oder zu speichern. Security findet auf einer anderen Ebene statt.
  http://rolfrost.de/wallpaper.html
  
  WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
  - GwenDragon
    
    2011-07-03 16:52
    
    User since
    2005-01-17
    14875 Artikel
    Admin1
    
    Quote
    Es gibt jedoch keinen wirklich guten Grund, die IP-Adresse des UserAgent in eine Anwendung einzubeziehen oder zu speichern. Security findet auf einer anderen Ebene statt.
    Was hat eigentlich das Ganze mit Sicherheit zu tun?
    
    Es gibt gute Gründe, IPs zu erfassen. Stell dir vor, du hast ein Forum und irgendjemand schreibt dort illegales, was machst du dann? Hände in Unschuld waschen?
    
    Ich vermute, dass du die Frage des TE missverstanden hast.
    
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +7 replies
- GwenDragon
  
  2011-07-03 16:47
  
  User since
  2005-01-17
  14875 Artikel
  Admin1
  
  Ja, HTTP-Header kann man fälschen, deswegen ist die Abfrage der Header remote_addr
  x-forwarded-for, X-Client-IP, X-Forwarded-By ziemlich sinnlos.
  Last edited: 2011-07-03 16:53:46 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +6 replies
  - rosti
    
    2011-07-03 16:58
    
    User since
    2011-03-19
    3726 Artikel
    BenutzerIn
    
    Genau deswegen ja findet Security auf einem anderen Layer statt und nicht in der Anwendungsebene. In den über 10 Jahren, die ich CGIs schreibe, hat die IP des UA noch nie eine Rolle gespielt. Wer die IP in seine Anwendungen einbezieht (außer zu demonstrativen Zwecken), muss damit rechnen, dass die Anwendung nicht fehlerfrei arbeitet.
    http://rolfrost.de/wallpaper.html
    
    WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
    - +3 replies
    - mark05
      
      2011-07-03 17:08
      
      User since
      2010-01-05
      131 Artikel
      BenutzerIn
      
      hi
      an der stelle muss man hier in deutschland auch an die aktuelle
      rechtssituation bezueglich datenschutz denken.
      also speichern ohne weiteres ist mit vorsicht zu geniessen.
      
      holger
      - +2 replies
      - GwenDragon
        
        2011-07-03 17:11
        
        User since
        2005-01-17
        14875 Artikel
        Admin1
        
        Es ist nicht verboten, bei Missbrauch von Webdiensten die IP zu speichern. Wie sollten sonst illegale Tätigkeiten nachgewiesen werden?
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        topeg
        
        2011-07-03 23:26
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Soweit ich weiß darf man die IP speichern solange man keine Zuordnung zu realen Personen macht.
        Ich weiß aber gerade nicht wie es ist wenn man zu einem Nicknamen die IP-Adressen sammelt.
    - GwenDragon
      
      2011-07-03 17:10
      
      User since
      2005-01-17
      14875 Artikel
      Admin1
      
      Na, dann möchte ich mal wissen wie du das machst.
      Schon vor dem Server?
      Du kannst sicher davon ausgehen, dass die Sender-IP auch die ist, die im TCP-Paket drin ist? Sniffst du dann die Pakete?
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - topeg
      
      2011-07-03 23:22
      
      User since
      2006-07-10
      2611 Artikel
      BenutzerIn
      
      Die Client-IP ist immer echt, solange die Verbindung besteht. Die IP-Adressen werden auf der TCP/IP Ebene ausgetauscht und das ist ist nicht fälschbar. Die Adresse muss existierten, sonst kann der Client die Verbindung nicht bestätigen.
      
      Hängt man im selben physikalischen Netz, oder im Netz durch den zum zu imitierenden Rechner geroutet wird, kann man sich als ein anderer Rechner ausgeben, wenn der eigene immer schneller reagiert als der, welchen man imitieren will.
- topeg
  
  2011-07-03 23:10
  
  User since
  2006-07-10
  2611 Artikel
  BenutzerIn
  
  Auf Paketebene (IP) kann man zwar ein Paket mit falscher IP generieren kann kommt aber auch keine echte TCP und erst recht keine HTTP Kommunikation zustande, da keine Verbindung aufgebaut werden kann (das Handshake kommt nicht zustande). Außer für DOS Angriffe auf TCP oder IP Ebene ist das kaum zu gebrauchen.
  
  Wenn eine HTTP Verbindung zustande kam dann ist die IP echt. Zumindest solange die Verbindung besteht.
  
  Wenn IP Adressen von einem Server und nicht von einem Provider kommen, so ist dort wahrscheinlich ein Proxy installiert. (z.B. ein Tor- oder ein privater Squid-Proxy)
  
  Du kannst das (in Deutschland illegal) testen, indem du einen PortSniffer auf den Server los lässt.
- Dubu
  
  2011-07-04 11:27
  
  User since
  2003-08-04
  2145 Artikel
  ModeratorIn + EditorIn
  
  topeg hat ja schon ein paar Sachen zu IP-Spoofing gesagt. Der Begriff "IP-Poisoning" wiederum sagt mir nichts. ARP-Poisoning klar, aber das geht ja nur im eigenen Subnetz. Und DNS-Poisoning ist hier eher irrelevant.
  
  Abgesehen davon verstehe ich aber nicht, was jetzt das Problem ist. Was meinst du mit "angeblich von einem Server kommen"? Keine größere Firma oder gar Behörde hat ihren Internetanschluss bei einem Zugangsprovider, natürlich erhält man da IP-Adressen von irgendeinem Server, meist halt der Web-Proxy des Unternehmens, der Stadt-Verwaltung oder was auch immer. Dabei kann die IP natürlich auch dieselbe sein wie die des Web- oder SMTP-Servers, wenn der Server mehrere Aufgaben übernimmt (was nicht unbedingt ratsam ist).
  
  Und ich kann mir natürlich auch privat auf meinem gemieteten Server einen Proxy anlegen, z.B. wenn ich via VPN auch in offenen WLANs sicher surfen will. Daran finde ich nichts komisches.
  
  Kurz gesagt: Wenn's eine global gültige IP-Adresse hat, darf es auch IP-Pakete versenden. Die sind damit per definitionem "gültig". Ob daraus für dich "gültige" Einträge in Blogs etc. folgen, ist die Sache eurer Policy.

View all threads created 2011-07-03 14:00.