Bin ich ein IP Spoofing Opfer?
 

Hallo,

folgender Sachverhalt:

meine IP Adresse 213.143.120.xxx
mein gateway (Cisco switch) 213.143.120.254
ISP blizznet


Seit kurzem bekomme ich regelmäßig spammails, defakto an meine aus dem domain namen bildbare e-mail adresse. soweit so gut. allderings behauptet jetzt mein ISP, dass ich spam mails verschickt hätte, und zwar von meiner IP aus. mehr weiß ich leider noch nicht. :mad:

ok, ich habe eine server der 24/7 läuft, einen client der manchmal läuft wenn ich zu hause bin und noch zwei systeme die vielleicht ein paar stunden im Monat im Netz hängen.

server und client (windows) haben alle patches installiert und einen realtime virenscanner. server wird wöchentlich gescannt. habe nach dieser behautptung beide manuell durchgescannt und nichts gefunden.

soweit so gut :(

Jetzt habe ich einen Paket Sniffer am Server installiert der nur am port 25 lauscht und alles aufzeichnet. Ich dachte da wird nix zu sehen sein, doch nach einer Nacht war ich ziemlich erstaunt :eek:

Die 213.143.120.xxx Adressen im folgenden Bild sind alle nicht meine, aber wieso empfange ich da Daten die auch eindeutig nach Spam mail Aktivitäten der Rechner 213.143.120.xxx Rechner hinweisen.

Das geht doch nur wenn meine IP gespooft wurde, oder :confused:

Bild

(PS: kann man keine Bilder mehr einbinden?)

Komisch, das Bild kann ich im KS einbinden, aber hier nicht.

hast einen mail server laufen? Sieht für mich aus als ob du als relay verwendet wirst.

nein! na wenn dann läuft höchstens ein trojaner :D
aber der ist nicht zu finden.

wie gesagt, bei den IP Adressen im Bild ist meine nicht dabei, weder als Server noch als client. Außerdem habe ich jetzt den smtp port 25 ausgehend gesperrt. ich kann nicht mal selbst mails versenden. aber der packet sniffer zeichnet nachwievor etwas traffic "meiner nachbarn" auf. keine ahnung wie das überhaupt sein kann.

auf 25 empfängt ein mailserver versenden tut er über andere ports. Sperr mal incoming, und schau das in der internetdienstverwaltung smtp deaktiviert ist. Wenn allerdings keine der verwendeten ip adressen deine ist würd ich mir keine sorgen machen. Chello?

ISP blizznet ;)

das hab' ich deswegen gemacht, weil ich angeblich direkt an einen mailserver gespammt habe. deswegen habe ich auch den sniffer angeworfen, damit ich sehe ob mein rechner etwas versendet. da ist aber nix.

incoming port 25 ist nicht offen, ist mit der standard windows firewall gesperrt. smtp service ist nicht installiert. IIS läuft zwar aber nur die administrationspage auf einen 5 stelligen SSL port. protokollierung nichts auffälliges.


zusammengefasst:
da verirren sich einfach pakete zu mir und das ist ganz normal? der spamalarm muss von einem andern rechner kommen.

wenn die ips die dein sniffer aufzeichnet im selben subnet wie deine liegen könnts ja sein das ein anderer blizzneter der an deinem knoten hängt schuld ist.

ja, der liegt ziemlich sicher im selben subnet (255.255.255.0).

vielleicht betreibt er ganz normal einen mailserver und kämpft auch nur mit spam. in dieser liste ist er ganz oben, noch vor dem mailserver des ISPs.

http://www.senderbase.org/search?sea....143.96.0%2F19

was auch immer das zu bedeuten hat. gelistet ist er aber nirgends.





Bisher dachte ich immer, wenn man an einem geswitchten Netzwerk hängt, bekommt man von den anderen usern nicht viel mit (bis auf etwaige broadcasts). warum sich da soviel zu mir verirrt, ist mein eigentliches rätsel. :o

darum dachte ich an ein IP Spoofing. Mein Rechner würde da ja mitspielen, denn er reagiert ja nicht auf sinnlose ACK/SYN Pakete.



Vielleicht bin ich auch nur ein wenig schizophren geworden ;)

man "Promiscuous Mode"

z.B.

http://de.wikipedia.org/wiki/Sniffer


HTH
g17