Bin ich ein IP Spoofing Opfer?

maxb · 15.06.2004, 12:36

Hallo,

folgender Sachverhalt:

meine IP Adresse 213.143.120.xxx
mein gateway (Cisco switch) 213.143.120.254
ISP blizznet

Seit kurzem bekomme ich regelmäßig spammails, defakto an meine aus dem domain namen bildbare e-mail adresse. soweit so gut. allderings behauptet jetzt mein ISP, dass ich spam mails verschickt hätte, und zwar von meiner IP aus. mehr weiß ich leider noch nicht.

ok, ich habe eine server der 24/7 läuft, einen client der manchmal läuft wenn ich zu hause bin und noch zwei systeme die vielleicht ein paar stunden im Monat im Netz hängen.

server und client (windows) haben alle patches installiert und einen realtime virenscanner. server wird wöchentlich gescannt. habe nach dieser behautptung beide manuell durchgescannt und nichts gefunden.

soweit so gut

Jetzt habe ich einen Paket Sniffer am Server installiert der nur am port 25 lauscht und alles aufzeichnet. Ich dachte da wird nix zu sehen sein, doch nach einer Nacht war ich ziemlich erstaunt

Die 213.143.120.xxx Adressen im folgenden Bild sind alle nicht meine, aber wieso empfange ich da Daten die auch eindeutig nach Spam mail Aktivitäten der Rechner 213.143.120.xxx Rechner hinweisen.

Das geht doch nur wenn meine IP gespooft wurde, oder

Bild

(PS: kann man keine Bilder mehr einbinden?)

maxb · 15.06.2004, 12:58

Komisch, das Bild kann ich im KS einbinden, aber hier nicht.

LouCypher · 15.06.2004, 13:12

hast einen mail server laufen? Sieht für mich aus als ob du als relay verwendet wirst.

maxb · 15.06.2004, 13:34

Zitat:

Original geschrieben von LouCypher
hast einen mail server laufen? Sieht für mich aus als ob du als relay verwendet wirst.

nein! na wenn dann läuft höchstens ein trojaner

aber der ist nicht zu finden.

wie gesagt, bei den IP Adressen im Bild ist meine nicht dabei, weder als Server noch als client. Außerdem habe ich jetzt den smtp port 25 ausgehend gesperrt. ich kann nicht mal selbst mails versenden. aber der packet sniffer zeichnet nachwievor etwas traffic "meiner nachbarn" auf. keine ahnung wie das überhaupt sein kann.

LouCypher · 15.06.2004, 13:40

auf 25 empfängt ein mailserver versenden tut er über andere ports. Sperr mal incoming, und schau das in der internetdienstverwaltung smtp deaktiviert ist. Wenn allerdings keine der verwendeten ip adressen deine ist würd ich mir keine sorgen machen. Chello?

Potassium · 15.06.2004, 13:53

Zitat:

Original geschrieben von LouCypher Chello?

ISP blizznet

maxb · 15.06.2004, 14:25

Zitat:

Original geschrieben von LouCypher
auf 25 empfängt ein mailserver versenden tut er über andere ports. Sperr mal incoming, und schau das in der internetdienstverwaltung smtp deaktiviert ist. Wenn allerdings keine der verwendeten ip adressen deine ist würd ich mir keine sorgen machen. Chello?

das hab' ich deswegen gemacht, weil ich angeblich direkt an einen mailserver gespammt habe. deswegen habe ich auch den sniffer angeworfen, damit ich sehe ob mein rechner etwas versendet. da ist aber nix.

incoming port 25 ist nicht offen, ist mit der standard windows firewall gesperrt. smtp service ist nicht installiert. IIS läuft zwar aber nur die administrationspage auf einen 5 stelligen SSL port. protokollierung nichts auffälliges.

zusammengefasst:
da verirren sich einfach pakete zu mir und das ist ganz normal? der spamalarm muss von einem andern rechner kommen.

LouCypher · 15.06.2004, 15:36

wenn die ips die dein sniffer aufzeichnet im selben subnet wie deine liegen könnts ja sein das ein anderer blizzneter der an deinem knoten hängt schuld ist.

maxb · 15.06.2004, 15:56

ja, der liegt ziemlich sicher im selben subnet (255.255.255.0).

vielleicht betreibt er ganz normal einen mailserver und kämpft auch nur mit spam. in dieser liste ist er ganz oben, noch vor dem mailserver des ISPs.

http://www.senderbase.org/search?sea....143.96.0%2F19

was auch immer das zu bedeuten hat. gelistet ist er aber nirgends.

Bisher dachte ich immer, wenn man an einem geswitchten Netzwerk hängt, bekommt man von den anderen usern nicht viel mit (bis auf etwaige broadcasts). warum sich da soviel zu mir verirrt, ist mein eigentliches rätsel.

darum dachte ich an ein IP Spoofing. Mein Rechner würde da ja mitspielen, denn er reagiert ja nicht auf sinnlose ACK/SYN Pakete.

Vielleicht bin ich auch nur ein wenig schizophren geworden

g17 · 15.06.2004, 16:36

man "Promiscuous Mode"

z.B.

http://de.wikipedia.org/wiki/Sniffer

HTH
g17

15.06.2004, 12:36	#1
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Bin ich ein IP Spoofing Opfer? Hallo, folgender Sachverhalt: meine IP Adresse 213.143.120.xxx mein gateway (Cisco switch) 213.143.120.254 ISP blizznet Seit kurzem bekomme ich regelmäßig spammails, defakto an meine aus dem domain namen bildbare e-mail adresse. soweit so gut. allderings behauptet jetzt mein ISP, dass ich spam mails verschickt hätte, und zwar von meiner IP aus. mehr weiß ich leider noch nicht. ok, ich habe eine server der 24/7 läuft, einen client der manchmal läuft wenn ich zu hause bin und noch zwei systeme die vielleicht ein paar stunden im Monat im Netz hängen. server und client (windows) haben alle patches installiert und einen realtime virenscanner. server wird wöchentlich gescannt. habe nach dieser behautptung beide manuell durchgescannt und nichts gefunden. soweit so gut Jetzt habe ich einen Paket Sniffer am Server installiert der nur am port 25 lauscht und alles aufzeichnet. Ich dachte da wird nix zu sehen sein, doch nach einer Nacht war ich ziemlich erstaunt Die 213.143.120.xxx Adressen im folgenden Bild sind alle nicht meine, aber wieso empfange ich da Daten die auch eindeutig nach Spam mail Aktivitäten der Rechner 213.143.120.xxx Rechner hinweisen. Das geht doch nur wenn meine IP gespooft wurde, oder Bild (PS: kann man keine Bilder mehr einbinden?) ____________________________________ www.maxb.cc und www.bikeandbeer.info

15.06.2004, 12:58	#2
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Komisch, das Bild kann ich im KS einbinden, aber hier nicht. ____________________________________ www.maxb.cc und www.bikeandbeer.info

15.06.2004, 13:12	#3
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	hast einen mail server laufen? Sieht für mich aus als ob du als relay verwendet wirst. ____________________________________ Greetings LouCypher

15.06.2004, 13:40	#5
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	auf 25 empfängt ein mailserver versenden tut er über andere ports. Sperr mal incoming, und schau das in der internetdienstverwaltung smtp deaktiviert ist. Wenn allerdings keine der verwendeten ip adressen deine ist würd ich mir keine sorgen machen. Chello? ____________________________________ Greetings LouCypher

15.06.2004, 15:36	#8
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	wenn die ips die dein sniffer aufzeichnet im selben subnet wie deine liegen könnts ja sein das ein anderer blizzneter der an deinem knoten hängt schuld ist. ____________________________________ Greetings LouCypher

15.06.2004, 15:56	#9
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	ja, der liegt ziemlich sicher im selben subnet (255.255.255.0). vielleicht betreibt er ganz normal einen mailserver und kämpft auch nur mit spam. in dieser liste ist er ganz oben, noch vor dem mailserver des ISPs. http://www.senderbase.org/search?sea....143.96.0%2F19 was auch immer das zu bedeuten hat. gelistet ist er aber nirgends. Bisher dachte ich immer, wenn man an einem geswitchten Netzwerk hängt, bekommt man von den anderen usern nicht viel mit (bis auf etwaige broadcasts). warum sich da soviel zu mir verirrt, ist mein eigentliches rätsel. darum dachte ich an ein IP Spoofing. Mein Rechner würde da ja mitspielen, denn er reagiert ja nicht auf sinnlose ACK/SYN Pakete. Vielleicht bin ich auch nur ein wenig schizophren geworden ____________________________________ www.maxb.cc und www.bikeandbeer.info

15.06.2004, 16:36	#10
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	man "Promiscuous Mode" z.B. http://de.wikipedia.org/wiki/Sniffer HTH g17 ____________________________________ Du willst neue Leute kennenlernen? Schicke eine SMS mit \"Fuck you\" an die 133

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln