Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst TCP IP Paket einschleusen

Mitglied: pd.edv

pd.edv (Level 1) - Jetzt verbinden

08.08.2018, aktualisiert 13.08.2018, 1058 Aufrufe, 10 Kommentare

Hallo.

Ich habe einen relativ einfachen Server und einen kleinen Sniffer geschrieben, der auf die Pakete lauscht und dann ein weiteres Paket nachschieben soll. Soweit sogut... Es klappt und auch in Wireshark sieht alles richtig aus (Sequenznummer, ACK-Nummer, etc.)

01.
<bound method Packet.show of <Ether  dst=40:f0:2f:c7:90:20 src=00:1f:5b:34:45:3c type=0x800 |<IP  version=4 ihl=5 tos=0x0 len=43 id=59649 flags=DF frag=0 ttl=64 proto=tcp chksum=0x0 src=192.168.1.7 dst=192.168.1.38 options=[] |<TCP  sport=4430 dport=49710 seq=1273911837 ack=3316335839 dataofs=5 reserved=0 flags=PA window=8192 chksum=0x839b urgptr=0 options=[] |<Raw  load='bla' |>>>>>
02.

03.
Sent 1 packets.
04.
<bound method Packet.show of <Ether  dst=40:f0:2f:c7:90:20 src=00:1f:5b:34:45:3c type=0x800 |<IP  version=4 ihl=5 tos=0x0 len=45 id=59649 flags=DF frag=0 ttl=64 proto=tcp chksum=0x0 src=192.168.1.7 dst=192.168.1.38 options=[] |<TCP  sport=4430 dport=49710 seq=1273911840 ack=3316335933 dataofs=5 reserved=0 flags=PA window=8192 chksum=0x839b urgptr=0 options=[] |<Raw  load='close' |>>>>>
Das Problem ist nur, dass Win 10 nicht auf das Paket reagiert... ich bekomme kein ACK oder sonstwas... Woran kann das liegen?
Mitglied: certifiedit.net
08.08.2018 um 01:20 Uhr
Firewall vermutlich?
Bitte warten ..
Mitglied: pd.edv
08.08.2018, aktualisiert um 12:51 Uhr
Nein, glaube ich nicht sonst wären die Pakete ja garnicht erst angekommen. Aber auch das testweise deaktivieren der Win-Firewall hat nichts gebracht.

Hier nochmal 2 Pakete:

Original

01.
###[ Ethernet ]### 
02.
  dst       = 40:f0:2f:c7:90:20
03.
  src       = 00:1f:5b:34:45:3c
04.
  type      = 0x800
05.
###[ IP ]### 
06.
     version   = 4
07.
     ihl       = 5
08.
     tos       = 0x0
09.
     len       = 42
10.
     id        = 17627
11.
     flags     = DF
12.
     frag      = 0
13.
     ttl       = 64
14.
     proto     = tcp
15.
     chksum    = 0x0
16.
     src       = 192.168.1.7
17.
     dst       = 192.168.1.38
18.
     \options   \
19.
###[ TCP ]### 
20.
        sport     = 4430
21.
        dport     = 49710
22.
        seq       = 1273911848
23.
        ack       = 3316336534
24.
        dataofs   = 5
25.
        reserved  = 0
26.
        flags     = PA
27.
        window    = 8192
28.
        chksum    = 0x839a
29.
        urgptr    = 0
30.
        options   = []
31.
###[ Raw ]### 
32.
           load      = 'la'
Gefälschtes Paket

01.
Sent 1 packets.
02.
###[ Ethernet ]### 
03.
  dst       = 40:f0:2f:c7:90:20
04.
  src       = 00:1f:5b:34:45:3c
05.
  type      = 0x800
06.
###[ IP ]### 
07.
     version   = 4
08.
     ihl       = 5
09.
     tos       = 0x0
10.
     len       = 45
11.
     id        = 17627
12.
     flags     = DF
13.
     frag      = 0
14.
     ttl       = 64
15.
     proto     = tcp
16.
     chksum    = 0x0
17.
     src       = 192.168.1.7
18.
     dst       = 192.168.1.38
19.
     \options   \
20.
###[ TCP ]### 
21.
        sport     = 4430
22.
        dport     = 49710
23.
        seq       = 1273911862
24.
        ack       = 3316337185
25.
        dataofs   = 5
26.
        reserved  = 0
27.
        flags     = PA
28.
        window    = 8192
29.
        chksum    = 0x4afb
30.
        urgptr    = 0
31.
        options   = []
32.
###[ Raw ]### 
33.
           load      = 'close'
Die ID-Nummer von IP ist ident - da könnte eventuell das Problem sein.
Bitte warten ..
Mitglied: NetzwerkDude
08.08.2018 um 09:20 Uhr
Schick doch mal ein Paket an einen Port von dem du weisst das da ein Dienst dahinter lauscht - weil 49710 kling random
Bitte warten ..
Mitglied: pd.edv
08.08.2018 um 09:59 Uhr
Auf diesem Port empfängt das Script ja die ganze Zeit Daten...
Wenn ich im Client was eingebe wird das ganze Verarbeitet und das läuft auch über diesen Port.
Wenn ich ein Paket selber erstelle dann kommt das auch an wird aber nicht mit ACK bestätigt oder an das Script weitergereicht...
Bitte warten ..
Mitglied: pd.edv
08.08.2018, aktualisiert um 12:48 Uhr
Hi. Ich glaube Ihr versteht nicht was ich zu tun versuche...

Ich will in eine bestehende Verbindung eingreifen und ein Paket einschleusen. Die Kommunikation zwischen Server und Client läuft problemlos ab...

Ich fange dann einen Paket mit einem Befehl ab, kopiere es, warte auf das nächste ACK-Paket um Sequensznummer und ACK-Nummer für den nächsten regulären Befehl abzufangen, manipuliere das Paket und den Inhalt und sende dann mein gefälschtes Paket mit dem close-Befehl...

Das ganze hat nichts mit Verbindungsaufbau, etc. zu tun - ich will mitten in der offenen TCP/IP Verbindung ein gefälschtes Paket einschleusen.

Server und Client kommunizieren die ganze Zeit völlig problemlos seit mehr als 20h mit der offenen Verbindung und trotz dutzender Versuche empfängt der Rechner das gefälschte Paket, reagiert aber nicht darauf. (Kein ACK von Server, keine Verarbeitung des Befehls)

Der nächste reguläre Befehl vom legitimen Client wird in Wireshark sogar als Retransmission erkannt und komischerweise verarbeitet... Also ACK vom Server, Verarbeitung des Befehls, Antwort vom Server und ACK vom Client
Bitte warten ..
Mitglied: aqui
08.08.2018 um 12:48 Uhr
manipuliere das Paket und den Inhalt und sende dann mein gefälschtes Paket mit dem close-Befehl...
Aber mit der gleichen IP Adresse und auch der gleichen Mac ?
https://security.stackexchange.com/questions/181669/what-does-it-really- ...
Ansonsten scheitert das Prinzipien bedingt.
Bitte warten ..
Mitglied: pd.edv
08.08.2018, aktualisiert um 13:08 Uhr
Ja natürlich. Ich fange sogar die nächste Sequenznummer und ACK-Nummer ab und verwende diese.

Mittlerweile habe ich sogar für das IP-Headerfeld ID-Nummer eine Zufallszahl generiert und verwendet damit diese auch nicht mehr ident sind. Langsam gehen mir die Ideen aus. Sogar die Checksummen sind angepasst und neu berechnet.

Schau bitte bei den 2 Paketen, die ich angehängt habe...
1 = Original dann kommt "Sent 1 packets." und 2 = gefälschtes Paket
... Ich schreib es nochmal drüber...

Kann auch gerne eine PCAP-Datei zur Verfügung stellen wenn Ihr wollt...
Bitte warten ..
Mitglied: pd.edv
13.08.2018, aktualisiert um 22:28 Uhr
Hat sich erledigt... Ich hatte die TCP-Header Prüfsumme neu generiert aber vergessen auch die IP Header Prüfsummen neu zu generieren. Daher wurde das Paket nicht verarbeitet!

Warum allerdings in der Ausgabe 0x0 stand anstatt der eigentlichen Prüfsumme ist eine andere Frage - scheinbar ein kleiner Bug in dieser Version von Scapy!
Bitte warten ..
Mitglied: aqui
16.08.2018 um 10:38 Uhr
Dem ist sicher so !
0x0 steht da immer wenn die Prüfsumme OK ist. Sie wird nur ausgewiesen wenn sie NICHT OK ist, also ein Fehler vorhanden ist.
Solltest du mal einen Bug Report bei Scapy öffnen
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

Funktionsprinzip: Ethernetframe u. IP-Paket

Frage von anrivaxdNetzwerkgrundlagen3 Kommentare

Hallo Leute, Ich möchte grob verstehen, wie ein Ethernetframe (auf einem PC) von wem, wie erstellt wird, welche Prozeduren ...

Windows Netzwerk

Fixe IP-Adresse zu Internet-Paket nehmen?

Frage von mcdutchWindows Netzwerk3 Kommentare

Ich überlege gerade den Internet-Provider zu wechseln. Da ist mir aufgefallen, dass beim Business-Internet eine fixe IP-Adresse dabei ist. ...

Peripheriegeräte

Virtual Com-Port via TCP-IP

gelöst Frage von sunicsPeripheriegeräte5 Kommentare

Hallo Zusammen, Kennt Ihr zufällig eine Software für Windows oder Mac, mit welcher ich einen Virtuellen Comport erzeugen kann, ...

Netzwerke

Hilfe ! Aufgabe TCP IP Header Analysieren

Frage von Cat7BoyNetzwerke11 Kommentare

Hallo @ All. Brauche dringend hilfe beim Lösen dieser Aufgabe. Muss verstehen können wie man es löst. Leider stehe ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 23 StundenOff Topic14 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 2 TagenOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 2 TagenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 4 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing27 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von FrankOff Topic14 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

LAN, WAN, Wireless
Welches Material ist das Richtige?
Frage von Motte990LAN, WAN, Wireless12 Kommentare

Guten Morgen Leute, ich bin aktuell damit beschäftigt in unserm neu gekauften Haus das Netzwerk einzubauen. Aktuell wurden bis ...

Mac OS X
MAC Book ohne Apple ID oder ohne password
gelöst Frage von K2a.DevMac OS X7 Kommentare

Hallo allerseits, Ich würde mir gerne ein macbook zulegen, jedoch kein neues da ich es höchstwahrscheinlich nicht so oft ...