gelöst TCP IP Paket einschleusen

Mitglied: pd.edv

pd.edv (Level 1) - Jetzt verbinden

08.08.2018, aktualisiert 13.08.2018, 1892 Aufrufe, 10 Kommentare

Hallo.

Ich habe einen relativ einfachen Server und einen kleinen Sniffer geschrieben, der auf die Pakete lauscht und dann ein weiteres Paket nachschieben soll. Soweit sogut... Es klappt und auch in Wireshark sieht alles richtig aus (Sequenznummer, ACK-Nummer, etc.)

Das Problem ist nur, dass Win 10 nicht auf das Paket reagiert... ich bekomme kein ACK oder sonstwas... Woran kann das liegen?
Mitglied: certifiedit.net
08.08.2018 um 01:20 Uhr
Firewall vermutlich?
Bitte warten ..
Mitglied: pd.edv
08.08.2018, aktualisiert um 12:51 Uhr
Nein, glaube ich nicht sonst wären die Pakete ja garnicht erst angekommen. Aber auch das testweise deaktivieren der Win-Firewall hat nichts gebracht.

Hier nochmal 2 Pakete:

Original

Gefälschtes Paket

Die ID-Nummer von IP ist ident - da könnte eventuell das Problem sein.
Bitte warten ..
Mitglied: NetzwerkDude
08.08.2018 um 09:20 Uhr
Schick doch mal ein Paket an einen Port von dem du weisst das da ein Dienst dahinter lauscht - weil 49710 kling random
Bitte warten ..
Mitglied: pd.edv
08.08.2018 um 09:59 Uhr
Auf diesem Port empfängt das Script ja die ganze Zeit Daten...
Wenn ich im Client was eingebe wird das ganze Verarbeitet und das läuft auch über diesen Port.
Wenn ich ein Paket selber erstelle dann kommt das auch an wird aber nicht mit ACK bestätigt oder an das Script weitergereicht...
Bitte warten ..
Mitglied: pd.edv
08.08.2018, aktualisiert um 12:48 Uhr
Hi. Ich glaube Ihr versteht nicht was ich zu tun versuche...

Ich will in eine bestehende Verbindung eingreifen und ein Paket einschleusen. Die Kommunikation zwischen Server und Client läuft problemlos ab...

Ich fange dann einen Paket mit einem Befehl ab, kopiere es, warte auf das nächste ACK-Paket um Sequensznummer und ACK-Nummer für den nächsten regulären Befehl abzufangen, manipuliere das Paket und den Inhalt und sende dann mein gefälschtes Paket mit dem close-Befehl...

Das ganze hat nichts mit Verbindungsaufbau, etc. zu tun - ich will mitten in der offenen TCP/IP Verbindung ein gefälschtes Paket einschleusen.

Server und Client kommunizieren die ganze Zeit völlig problemlos seit mehr als 20h mit der offenen Verbindung und trotz dutzender Versuche empfängt der Rechner das gefälschte Paket, reagiert aber nicht darauf. (Kein ACK von Server, keine Verarbeitung des Befehls)

Der nächste reguläre Befehl vom legitimen Client wird in Wireshark sogar als Retransmission erkannt und komischerweise verarbeitet... Also ACK vom Server, Verarbeitung des Befehls, Antwort vom Server und ACK vom Client
Bitte warten ..
Mitglied: aqui
08.08.2018 um 12:48 Uhr
manipuliere das Paket und den Inhalt und sende dann mein gefälschtes Paket mit dem close-Befehl...
Aber mit der gleichen IP Adresse und auch der gleichen Mac ?
https://security.stackexchange.com/questions/181669/what-does-it-really- ...
Ansonsten scheitert das Prinzipien bedingt.
Bitte warten ..
Mitglied: pd.edv
08.08.2018, aktualisiert um 13:08 Uhr
Ja natürlich. Ich fange sogar die nächste Sequenznummer und ACK-Nummer ab und verwende diese.

Mittlerweile habe ich sogar für das IP-Headerfeld ID-Nummer eine Zufallszahl generiert und verwendet damit diese auch nicht mehr ident sind. Langsam gehen mir die Ideen aus. Sogar die Checksummen sind angepasst und neu berechnet.

Schau bitte bei den 2 Paketen, die ich angehängt habe...
1 = Original dann kommt "Sent 1 packets." und 2 = gefälschtes Paket
... Ich schreib es nochmal drüber...

Kann auch gerne eine PCAP-Datei zur Verfügung stellen wenn Ihr wollt...
Bitte warten ..
Mitglied: pd.edv
13.08.2018, aktualisiert um 22:28 Uhr
Hat sich erledigt... Ich hatte die TCP-Header Prüfsumme neu generiert aber vergessen auch die IP Header Prüfsummen neu zu generieren. Daher wurde das Paket nicht verarbeitet!

Warum allerdings in der Ausgabe 0x0 stand anstatt der eigentlichen Prüfsumme ist eine andere Frage - scheinbar ein kleiner Bug in dieser Version von Scapy!
Bitte warten ..
Mitglied: aqui
16.08.2018 um 10:38 Uhr
Dem ist sicher so !
0x0 steht da immer wenn die Prüfsumme OK ist. Sie wird nur ausgewiesen wenn sie NICHT OK ist, also ein Fehler vorhanden ist.
Solltest du mal einen Bug Report bei Scapy öffnen
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte26 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing17 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu11 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Ähnliche Inhalte
C und C++
Daten auslesen via Modbus TCP IP
kogi3396FrageC und C++1 Kommentar

Hallo zusammen, wir haben bei uns vor kurzem eine neue Klimaanlage im Serverraum in Betrieb genommen, die durch eine ...

Erkennung und -Abwehr
TCP Acceleration
MikePostFrageErkennung und -Abwehr1 Kommentar

Hallo zusammen Auf meinem Proxy werden bekannte Phishing Sites geblockt. Doch in den Logs wird jeweils ein TCP_Acceleration from ...

Router & Routing

Router empfängt Paket auf seiner IP und soll trotzdem weiterleiten

gelöst 138936FrageRouter & Routing10 Kommentare

Hallo zusammen, folgendes Szenario versuche ich umzusetzen: Geschäftsfall: In einem internen Firmennetzwerk steht ein PC. Die Anforderung ist, diesen ...

Windows 10

Ändern der TCP IP-Einstellungen in Windows 10 1903

Bem0815AnleitungWindows 1011 Kommentare

In 1903 haben nun auch die TCP/IP Einstellungen Einzug in das Windows 10 Modern User Interface gefunden. Die alte ...

Windows 10

Firefox Enterprise MSI Paket

mexxFrageWindows 1011 Kommentare

Hallo, wir wollen und müssen den Firefox Quantum Enterprise via Softwareverteilung GPO verteilen. Leider liefert Mozilla nur eine MSI ...

MikroTik RouterOS

Wireshark oder Paket Sniffer - FRAGE

gelöst IP-PUPPIFrageMikroTik RouterOS8 Kommentare

Ein gesundes Hallo an die Runde, ich hoffe das Euch allen (+ Familien) gut geht und man weiterhin gesund ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT