mmofacts.com

TCP-Timestamp Fingerprint

gepostet vor 16 Jahre, 7 Monate von mcules
Habe letztens beim Foren stöbern gelesen, das man, einen "nahezu" sicheren Fingerprint des Client-Rechners erstellen kann.
Dies funktioniert über die, Hardware bedingte, Zeitverschiebung auf dem Clientrechner.
Ich habe jetzt den ganzen Nachmittag damit verbracht zu googeln und in Foren zu lesen.
Das einzige was ich nicht gefunden habe, ist wie ich den Fingerprint eines Clients ermitteln kann.
Hab zwar ein paar Tools gefunden, die wollen sich jedoch einfach nicht kompilieren lassen auf meinem Server.
Außerdem sind das Commandline-Tools mit denen ich den Client anfragen muß und da erwische ich ja meistens nen Router.
Irgendwie muß das doch möglich sein, das ich direkt bei einer Anfrage des Clients den Fingerprint ermitteln kann oder?
gepostet vor 16 Jahre, 7 Monate von None
Ich versteh zwar nicht wofür du das brauchst, aber hier ein Ansatz:
www.cnws03.de/index.php?option=com_joomlaboard&Itemid=28&id=606&catid=11&func=sb_pdf
Was du da brauchst ist Kernwissen über die verschiedenen Netzwerkschichten, sprich das OSI Modell sollte dir geläufig sein (de.wikipedia.org/wiki/OSI-Modell)
Unter uns... lass es.
Die IP des Clients bringt dir zum einen absolut nichts, zum anderen sind die eingesetzten Techniken für ein simples Browsergame so ziemlich oversized.
Ich blicks nicht wieso viele immer so scharf auf die IP des Users sind.
gepostet vor 16 Jahre, 7 Monate von Drezil
naja .. das geht ..
auf dem 23C3 oder dem 24C3 hat mal wer nen Vortrag dazu gehalten (iirc)...
der hat geolokalisation von pcs aufgrund des tcp-timestamps gemacht. hat das über nen paar wochen aufgezeichnet, aus der abweichung der pc-uhr die temperatur am standort errechnet (quarz schwingt ja leicht unregelmässig bei temperaturschwankungen) und dann im vergleich mit wetterdaten/tag-nacht-zeiten errechnet, wo der pc stehen muss...
ist natürlich nicht soooo exakt (aber doch besser, als man uzerst vermuten könnte) - aber wohl doch eher was für echte cracks..
ich kann da nur marco zustimmen: lass es. Ersparst dir ne menge frust
gepostet vor 16 Jahre, 7 Monate von None
Meines Wissens ging es da teilweise um die Ermittlung von Maschinen welche Thor o.ä. verwenden.
gepostet vor 16 Jahre, 7 Monate von Klaus
Original von MrMarco
Ich versteh zwar nicht wofür du das brauchst, aber hier ein Ansatz:
[...]

Er will einzelne Clients besser auseinanderhalten als es mit der IP möglich ist, wie du ja bereits erkannt hast.
gepostet vor 16 Jahre, 7 Monate von None
Du das ist mir klar, ich versteh nur nie wieso man immer mit BFGs auf die User ballert um die IP zu bekommen.
Es gibt doch genug andere Methoden um einen User zu identifzieren.
Und wenn der nicht erkannt werden will, dann wird er nicht erkannt. Gibt genug Gegenmaßnahmen.
gepostet vor 16 Jahre, 7 Monate von abuzeus
Es ging bei der angesprochenen Methode darum, festzustellen, wer alles am gleichen PC sitzt. In der c't 19/05 , S. 216 gab es glaube ich einen Artikel darüber. Originalartikel hier. Damit könnte man theoretisch jemanden auch bei Nutzung über Tor, wechselnder IP und so weiter identifizieren. Wenn ichs richtig verstanden habe, ist das ganze aber rect aufwändig. Kann aber sein, dass es inzwischen Tools dafür gibt...
edit: Okay, heißt Tor. Das kommt vom abschreiben statt selber nachschauen...
gepostet vor 16 Jahre, 7 Monate von Dunedan
Das Ding heißt TOR ...
Und einen Vortrag zur TCP-Fingerprint-Thematik gab's, wie von Drezil schon angesprochen, auf dem 23C3. Zu finden unter: [URL]ftp://ftp.ccc.de/congress/23C3/video/23C3-1513-en-detecting_temperature_through_clock_skew.m4v[/URL]
gepostet vor 16 Jahre, 7 Monate von Kallisti
Hmmm wieso hab ich mir den Vortrag aufm 23c3 nicht angesehen? xD
Das Problem ist ja, dass du auf der Ebene an die TCP Daten gar nicht heran kommst (OSI und so...). Wenn dann mit IDS/IPS Software / lokalem Sniffing, die du dann wieder auf deine webserverlogs streamlinen muesstest... ist schon arg aufwendig und das Resultat sagt bei den wenigen Requests kaum was aus. Ich bezweifle, dass auf der Basis etwas herauskommt.
gepostet vor 16 Jahre, 7 Monate von mcules
Also lag ich doch nicht so falsch mit meiner Befürchtung, das der Kosten-Nutzen Faktor zu hoch sein wird.
Hintergrund der Problematik ist, das ich einem Multi die nutzung von verschiedenen Accounts nachweißen muß.
Habe da gerade ernsthafte Probleme mit einem User der verschiedene Accounts nutzt um meine User sowie auch mich am laufenden Band zu beleidigen und zu belästigen.
Nachdem die Provider zur Zeit die Adressdaten der zugehörigen IPs nicht mehr an die Strafverfolgungsbehörden ausgeben dürfen und ich bei einem Account eine eMail Adresse habe, könnte ich mit einem Timestamp relativ sicher nachweißen, das es die selbe Person ist.
Der User hat bei jeder Registrierung andere Mail Adressen benutzt, alle bei Freemailern bis auf eine, die hat er bei einem kostenpflichtigen Provider über die die Polizei an die Adresse heran kommen würde.
Nur halt wie gesagt, ich muß eine Verbindung der Accounts nachweißen können.
Das alle IPs über den selben Einwahlknoten und Provider kommen ist dabei relativ irrelevant.
[Tante Edit]
Ja, ich habe ihm schon genug Accounts gelöscht und gesperrt
[Edit weg]
gepostet vor 16 Jahre, 7 Monate von Drezil
hmm.. ich würd ichm sämtliche accounts löschen und ihm hausverbot erteilen..
weil der aufwand einen acc zu löschen ist ja i.a. nicht so groß, wie der einen zu erstellen (inkl. email-addresse, etc.)..
nach 1-2 wochen wird er sicher die lust daran verlieren... hoffe ich mal.
Ansonsten kann man ernsthaft über rechtliche Schritte nachdenken.
gepostet vor 16 Jahre, 7 Monate von None
Hmm...
Prüf mal folgendes bei ihm:
* IP Adressen aus dem Logfile
* Passwörter (viele sind stinkend faul und nehmen gleiche oder sehr ähnliche bei Multiaccounting)
* Resourcenfluß. In der Regel sind ein oder zwei Accounts dann die Hauptempfänger.
* Interner Mailverkehr im Spiel. Egal ob die "Spieler" ein eigenes Forum einsetzen zur Kommunikation, es gibt IMMER Mailverkehr zwischen echten Spielern direkt im Spiel. Und sei es nur ein "Gut nach Hause gekommen?"
* Setz ein Cookie und speichere dort die ID des letzten Logins mit ein paar Details wie z.B. die ID des verwendeten Users. Wenn du dann das Cookie ausließt und er dort von dem aktuellen Account abweicht... wobei er das natürlich unterbinden kann.
oder
wirf ihn komplett raus. Du hast hier Hausrecht! Und solange er nichts für das Spiel bei dir löhnt, kannst du ihn ohne Bedenken kicken.
Lass mal bitte hören wie es ausging. Bin neugierig geworden.
gepostet vor 16 Jahre, 7 Monate von mcules
Original von Drezil
Ansonsten kann man ernsthaft über rechtliche Schritte nachdenken.

Habe ich ja schon alles gemacht.
Direkt über deinem Posting habe ich die Problematik beschrieben warum das mit den rechtlichen Schritten so kompliziert ist momentan.
gepostet vor 16 Jahre, 7 Monate von TheUndeadable
wirf ihn komplett raus. Du hast hier Hausrecht! Und solange er nichts für das Spiel bei dir löhnt, kannst du ihn ohne Bedenken kicken.

Riskante Aussage, aber er hat ja schon erläutert, dass er es schon über das Hausrecht versucht hat.
Er hat nur die Probleme des Nachweises.
In meinen Augen hilft nur penibles Aufzeichnen der 'vermuteten' Aktivitäten und dann evtl eine Anzeige gegen Unbekannt (mit Übermittlung der vermuteten Person) und Begründung warum du vermutest, dass es die gleiche Person ist (Artikulation, Rechtschreibung, Browserkennung, IP-Kennung/IP-Geotagging, etc). Es wird schon reichen, wenn er oder seine Eltern merken, dass du es ernst meinst und nur darauf wartest, dass er sich entlarvt.
Wenn du alle Beleidigungen und alle bösartigen Aktionen speicherst und vielleicht deine Spieler auch noch zu einer Anzeige überreden (evtl Formular vorbereiten) kannst, so wird die Polizei evtl ein Gespräch mit dem vermuteten Täter führen. Zur echten Erhebung der Klage wird es nicht kommen, aber Vorgespräche reichen meist.
> Interner Mailverkehr im Spiel.
Sehr kritisch... Höchstens die Verbindungsdaten. Die Inhalte sind heilig...
Abgesehen davon scheint der Spieler nur stören zu wollen, da greifen die Punkte 'Rohstoffverkehr' und 'Mailverkehr' nicht wirklich. Er wird das Spiel nicht richtig spielen.
Ansonsten würde ich persönlich das Problem aussitzen und auch die Freemailer über die Problematik informieren. Auch diese können Druck auf die Einzelperson ausüben.
Ignoranz ist die beste Waffe. Er will provozieren und wenn er niemanden zum provozieren hat, dann geht er wieder.
gepostet vor 16 Jahre, 7 Monate von mcules
Nein, er spielt nicht, dazu hat er auch keine Möglichkeit.
Sobald ich merke das er wieder einen Account hat und damit anfängt, wird er sofort wieder gesperrt.
Ob es zu einer Anklage kommt oder nicht ist mir persöhnlich eigentlich relativ egal.
Er sollte nur mal merken, das das Inet nicht so anonym ist wie viele immer denken.
Dann wird er es vielleicht schon lassen und ich bin zufrieden ^^
gepostet vor 16 Jahre, 7 Monate von Kallisti
Original von Drezil
[...]
weil der aufwand einen acc zu löschen ist ja i.a. nicht so groß, wie der einen zu erstellen (inkl. email-addresse, etc.)..
[...]

Das ist ja mal definitiv nicht richtig. Mit ein bischen Recherche, die notwendig ist, wenn man nicht willkuerlich handeln moechte, ist das Loeschen immer aufwendiger als das Registrieren.
Fuer E-Mail gibt es Wegwerfadressen ala mailinator.com und es ist utopisch zu glauben jemand koenne alle DNS Namen von dergleichen Services blockieren. Selbst die 6 Alternativnamen (mailinator2.com, sogetthis.com, mailin8r.com, mailinator.net, spamherelots.com, thisisnotmyrealemail.com), die Mailinator anbietet funktionieren bei so gut wie jeder Seite, von unbekannteren Services ganz zu schweigen.
gepostet vor 16 Jahre, 7 Monate von HSINC
der aufwand für rpdfp ist recht hoch und nicht alle clients machen das im endeffekt auch mit (da man den client halt dazu bringen muss den ts mitzuschicken und manche weigern sich da ^^).
für eine rechtliche verfolgung halte ich das verfahren für völlig ungeeignet, da man sicherlich nur sehr schwer einen gesetztesvertreter finden wird der auch nur ansatzweise versteht was da gemacht wurde.
zwecks mailadressen, eventuell die freemailer/anonmailer domains sperren, es gibt nur eine gewisse anzahl von ihnen und immer wenn er sich neu anmeldet, hat man wieder eine domain und dann kann man ja schauen ob man die komplett sperrt. ausserdem macht er sich dann die arbeit um alle freemailer zu suchen.
muss man nur vorsichtig sein das man nicht zu viele leute aussperrt. und es ist natuerlich auch kein 100% sicheres system
gepostet vor 16 Jahre, 7 Monate von mcules
Naja, web.de und gmx kann ich schlecht sperren, sonst hab ich gar keine User mehr ^^
Zum Thema verstehen was da gemacht wurde, der Polizei-Beamte ist schon aus allen Wolken gefallen als ich ihm sagte, das ich die IP zurück getracert hab und das der sich über Dortmund einwählt.
Dem war das nicht klar das das geht obwohl das schon einer aus der Internet-Kriminalität war *rofl*
gepostet vor 16 Jahre, 7 Monate von Kallisti
Bei web.de oder gmx ist der Aufwand sich anzumelden ja auch hoeher.
Aber als Beispiel, eine google Suche nach "Wegwerf mail" brachte mir innerhalb von 20 Sekunden (!) Listen in diversen Foren mit Wegwerfadressen aus denen ich folgende Liste zusammengesetzt habe...
Ohne sie nun auf Funktionalitaet zu ueberpruefen:
Liste mit Wegwerf Email Adressen:
bumpymail.com
centermail.com
centermail.net
discardmail.com
discardmail.de
emailias.com
jetable.net
jetable.org
mailexpire.com
mailinator.com
messagebeamer.de
mytrashmail.com
trash-mail.de
trashmail.net
pookmail.com
nervmich.net
nervtmich.net
netzidiot.de
nurfuerspam.de
nospammail.net
privacy.net
punkass.com
sneakemail.com
sofort-mail.de
spamex.com
spamgourmet.com
spamhole.com
spaminator.de
spammotel.com
spamtrail.com
temporaryinbox.com
put2.net (neu)
senseless-entertainment.com (neu!)
//Moderation ergänzt:
spam.la
spambob.com
kasmail.com (mit Anmeldung)
dumpmail.de/eMail/
dodgeit.com
gehören zu www.mailinator.com
fastacura.com
fastchevy.com
fastchrysler.com
fastkawasaki.com
fastmazda.com
fastmitsubishi.com
fastnissan.com
fastsubaru.com
fastsuzuki.com
fasttoyota.com
fastyamaha.com
Von mir (Kallisti) ergaenzt:
mailinator2.com
sogetthis.com
mailin8r.com
mailinator.net
spamherelots.com
thisisnotmyrealemail.com
spam.la
trashymail.com
trash-mail.com
wegwerfadresse.de
spambog.com
spambog.de
bugmenot.com
Zeig mir auch nur ein Browsergame, das die alle blockt. Das ist ein Kampf gegen Windmuehlen und aeusserst sinnlos... Wie gesagt - 20 Sekunden Suche. Mit einer Minute mehr, findet man sicher doppelt so viele. Und woher willst du immer wissen, dass es ein Hoster ist den du sperren kannst? Jedes mal hinterher recherchieren?
Abgesehen davon kommt auch noch jeder dyndns Dienst in Frage, der auch mail DNS erlaubt... + private Server/Domains und spaetestens da endet der Punkt an dem man verlaesslich sagen kann, dass man die Domain blocken kann, ohne andere User zu beeintraechtigen.
gepostet vor 16 Jahre, 7 Monate von HSINC
klar isses ein katz und maus spiel, aber mal ehrlich, wenn man die mehrzahl der beliebten freemaildomains blockt, hat man schon mal eine groessere hürde aufgebaut. weil derjenige erstmal jede testen muss welche nicht geblockt wird. und wenn er eine gefunden hat, kann man die auch einfach sperren. somit sucht der typ für dich entsprechende anbieter.
logischerweise isses kein 100% sicherer schutz, den gibt es im inet ehh nicht, aber es ist erstmal ein hindernis, welches auch für zukünftige probleme in der richtung nutzbar ist
gepostet vor 16 Jahre, 7 Monate von None
Habe heute mal die Kollegen aus dem Security Team auf TCP Fingerprinting angesprochen und wofür er es brauchte.
Zitat: "Vergiß es."
Auch die One-Time-Mailer... vergiß es...
Wenn du nicht über die ISPs an seine Daten kommst, sieht es schlecht für dich aus.
Sorry... hilft zwar nicht, aber mehr kann ich nicht machen.
gepostet vor 16 Jahre, 7 Monate von mcules
Wie schon gesagt, mit der IP kannst du nichts mehr anfangen weil die ISPs nix mehr raus rücken dürfen.
Da läuft gerade noch was beim Verfassungsgericht, je nach dem was dabei raus kommt, dürfen die ISPs Datensätze wieder raus rücken oder eben auch nicht.
gepostet vor 16 Jahre, 7 Monate von TheUndeadable
> dürfen die ISPs Datensätze wieder raus rücken oder eben auch nicht.
Geh davon aus:
Es wird so bleiben. IPs, bzw die Verbindung, sind heilig. Und dies ist auch gut so!
gepostet vor 16 Jahre, 7 Monate von Kallisti
Original von mcules
Wie schon gesagt, mit der IP kannst du nichts mehr anfangen weil die ISPs nix mehr raus rücken dürfen.
Da läuft gerade noch was beim Verfassungsgericht, je nach dem was dabei raus kommt, dürfen die ISPs Datensätze wieder raus rücken oder eben auch nicht.

Halbwissen ist eine tolle Diskussionsgrundlage.
Vorratsdatenspeicherung != Auskunftsanspruch != Strafantrag mit Akteneinsicht.
Nichtsdestotrotz hilft das dennoch nicht denselben User wiederzuerkennen.
Wenn er mist baut, bann ihn, ansonsten eben einfach warten bis er die Lust verliert. Nur nicht drauf einlassen, wenn er faengt Spiele mit dir zu spielen, sonst steigert sich das nur...
Du kannst mit allen gaengigen Massnahmen arbeiten, also der Sammlung aus Indizien wie Cookies, IP Adresse (es ist Unsinn sie allein als Beweis zu sehen, aber es ist genauso falsch sie als ueberfluessig anzusehen, ein Indiz bleibt sie), Browserkennung, Remote Port, Zugriffszeiten, E-Mail-Adressen... Dazu statistische Analyse von Interaktion zwischen den Accounts und ab einer gewissen Threshold sollte ein Multi vorliegen. Ist im Grunde dasselbe Verfahren, das Spamfilter wie SpamAssassin einsetzen.

Auf diese Diskussion antworten