Versuchter Einbruch von Microsoft auf meinen FTP-Server?

Bisher bin ich immer davon ausgegangen, dass man IP-Adressen nicht so ohne weiteres fälschen kann. Aber vor einigen Minuten hat jemand versucht, auf meinen FTP-Server zu kommen. 
IP-Adresse: 23.98.70.196 
Und diese Adresse gehört laut http://whois.domaintools.com/23.98.70.196zu Microsoft!!

Da ich mir nicht vorstellen kann, dass Microsoft ein Interesse daran hat, auf meinen kleinen FTP-Server einzubrechen, vermute ich eher eine gefälschte IP!
Auszug aus der Anmeldung: 
09:20:01 - (not logged in) (23.98.70.196)> SSH-2.0-JSCH-0.1.51
09:20:01 - (not logged in) (23.98.70.196)> 500 Syntax error, command unrecognized.
09:20:01 - (not logged in) (23.98.70.196)> L 
09:20:07 - (not logged in) (23.98.70.196)> 500 Syntax error, command unrecognized.
09:20:07 - (not logged in) (23.98.70.196)> /java.net.SocketTimeoutException: Read timed out 09:20:07 - (not logged in) (23.98.70.196)> 500 Syntax error, command unrecognized. 09:20:07 - (not logged in) (23.98.70.196)> disconnected.

Meine Frage: kann man IP-adressen wirklich fälschen?

Hallo,

die Adresse ist auf Microsoft registriert, das heißt aber nicht, das sie auch von MS selbst benutzt wird. Schließlich bietet MS in einigen Regionen der Welt unter dem Label MSN auch Internetzugänge an. Ich würde daher davon ausgehen, das es sich um einen MSN-User handelt.

IP-Adressen kann man fälschen, bei TCP ist das aber ziemlich schwierig und wurde in diesem Fall ziemlich sicher nicht gemacht.

Gruß,
Steve

Hi Steve,

Ich habe in diesem Fall gar nicht daran gedacht, dass MS auch als Hoster tätig ist. Hätte ich auch selbst drauf kommen können.

Vielen Dank

Michael

Meine Frage: kann man IP-adressen wirklich fälschen?

Das macht i. d. R. nur dann Sinn, wenn der Angreifer nicht einbrechen, sondern lediglich Schaden verursachen will. Denn wenn allein die IP-Adresse gefälscht ist, kann zwischen dem Angreifer und dem Angegriffenen nie eine zweiseitige Kommunikation stattfinden - weil kein einziges Datenpaket vom Angegriffenen zurück zum Angreifer finden würde.

Wenn der Angreifer es schafft, ein kleines Paket zu schicken, welches der Angegriffene mit eine großem Datenpaket beantwortet, dann kann der Angreifer so einen Denial-of-Service-Angriff starten - er selbst muß wenig Aufwand betreiben, beim Angegriffenen aber glühen die Leitungen! Der Angreifer bleibt aufgrund der gefälschten Adresse im Dunklen und dass er nie eine Antwort bekommt, stört ihn nicht weiter.

Wenn er aber einbrechen will, muss er dafür sorgen, dass die Datenpakete vom Angegriffenen zu ihm zurück finden. Und dafür muß er einen der Core-Switches in seine Hand bekommen, die sich zwischen dem Angegriffenen und dem gewöhnlichen Standort der gefälschten Adresse befinden.

Auch sowas ist durchaus denkbar, in Osteuropa z. B. sind grosse Teile der Internet-Infrastruktur in den Händen von Kriminellen und anderem Gesindel. Da aber der gewöhnliche Weg von einem deutschen PC nach Washington nicht über Osteuropa führt,
könnten die Kriminellen keine Microsoft-Adressen fälschen.

Zwar hat’s durchaus auch derartige ‚Entführungen‘ schon gegeben, aber da haben dann Regierungen ihre Hand im Spiel gehabt (Pakistan hat z. B. 2008 mal Youtube entführt - alle Zugriffe weltweit auf Youtube sind in Pakistan in einem digitalen Mülleimer gelandet).

Gruß

Hallo,

SSH-2.0-JSCH-0.1.51

Klingt so, als hätte jemand versehentlich eine Java-Implementation von SSH auf den falschen Port losgelassen.

Ist ja nur einer Unterschied.

Und vielleicht hat es sich bei der IP-Adresse auch vertippt.

Meine Frage: kann man IP-adressen wirklich fälschen?

Ja.

Das riecht hier aber nicht danach.

Sebastian