IP Adresse aus dem TCP / IP Header herauslesen, wie macht man das?

Hallo,

ich befinde mich gerade in der Prüfungsvorbereitung zum Fachinformatiker für Systemintegration.

Ich habe nun eine Aufgabe entdeckt, wo ich momentan überfordert bin, und zwar soll man da aus einem TCP / IP Header u.a. die Quell und Ziel IP Adresse herauslesen. Es ist auch der Aufbau des TCP IP Headers beigefügt, bloß wie macht man das?

Ist jeder Block gleich 4 Byte oder wie ist da die herangehensweise?

Würde mich über Anregungen freuen.

Gruß

odense5220

3 Antworten

elcapocorleone

09.04.2016, 18:41

Wireshark istallieren, TCP ausfiltern und den Header lesen. Da müsste dann was von Request etc. die Quell-ip stehen. musst halt während des vorgangs mal mit dem Browser auf google gehen oder so.

odense5220

Fragesteller

09.04.2016, 18:42

aber wie geht das theoretisch, weil in der Prüfung hae ich ja kein WireShark.

elcapocorleone

09.04.2016, 18:44

@odense5220

Ich weiß nicht genau, was du meinst. Theoretisch geht es so, wie ich es dir beschrieben habe. Du brauchst ein Programm, in dem du jedes Paket untersuchen kannst. Die Ziel und Quell Adresse steht im jeden Header eines TCP-Paketes

odense5220

Fragesteller

09.04.2016, 18:54

@elcapocorleone

z.B. die Quell IP Adresse ist so und so... wie ließt man das "manuell" raus. Ich mine wie ist da die zählweise von TTL zur Source Address etc.?

elcapocorleone

09.04.2016, 18:59

@odense5220

Die TTL (Time to Live) wir von jedem Netzgerät (Hop etc.) 1 abgezogen. hat die TTL 0 erreicht, wird das Paket vernichtet. mit TTL funktioniert auch "tracert" (linux "traceroute"). Dein Client schickt ein paket mit der TTL "1" los, die wird von deimen router vernichtet und du bekommst eine Meldung von diesem Netzwerk-gerät, das dein Paket vernichtet wurde sowie dessen IP-Adresse. Danach schickt er wieder ein Paket mit der TTL 2 los. und so weiter bis er das Ziel erreicht, so hast du alle IP-Adressen der Netzwerk-Hops etc. die eine Verbindung von deimen PC zur quelle brauchen. Aber ich glaube die TTL steht nicht im zusammenhang mit der Quell-IP-Adresse.

(Mehr kann ich dir jetzt auch nicht sagen, bin nicht Ausgelernt)

Spirit528

09.04.2016, 21:44

Die IPv4-Quelladresse befindet sich im TCP-Pseudoheader an Bit 0 bis 32. Also die ersten 8 Bytes.

Die IPv6-Quelladresse befindet sich im TCP-Pseudoheader an Bit 0 bis 128. Also die ersten 16 Bytes.

Siehe https://de.wikipedia.org/wiki/Transmission_Control_Protocol#TCP-Pr.C3.BCfsumme_und_TCP-Pseudo-Header

MarcelDavis321

09.04.2016, 18:42

lad dir mal wireshark runter dann kannstes testen.

https://nmap.org/book/tcpip-ref.html
Die Adressen stehen in klarform im header

Ähnliche Fragen

Email Header IP Adresse?

Hallo!

Gestern habe ich eine seltsame Email bekommen und habe sie mit der Hilfe eines Freundes etwas analysiert - um genau zu sein haben wir uns den Email Header angesehen.

Dabei ist uns aufgefallen, dass dort nicht seine IP Adresse zu finden war, sondern nur zwei IP Adressen von zwei Servern im Ausland, vom Email-Anbieter (wissen wir eindeutig). Außerdem waren seltsame Buchstaben- und Zahlenreihen im ganzen Header - ein ganz langer "Text". Eigentlich ist das doch eher unüblich, oder? Im Header steht doch eigentlich nichts "unnötiges", zudem dieser "Text" nicht eine aussagekräftige bzw. relevante Informationen beinhaltet.

Meine Frage ist jetzt: Wurde die E-Mail manipuliert? Bzw kann man seine IP Adresse tatsächlich irgendwie aus dem Header entfernen?

Ich wäre wirklich sehr dankbar für Hilfe und Aufklärung!

...zur Frage

Wann und wie ermittelt die Polizei bzw. das Gericht die IP Adresse eines Absenders?

Wie schwerwiegend muss ein Tatverdacht sein, dass die Polizei bzw. das Gericht die IP Adresse eines Absenders ermittelt ?

Und kann das wirklich nur die Polizei bzw. das Gericht, oder können einflussreiche oder talentierte Leute aus der Informatikbranche das auch alleine rauskriegen ?

Es geht also um die wirkliche IP Adresse des Absenders und nicht die zwischengeschaltete vom Provider die oft im Header steht.

...zur Frage

TCP-Segment: wie bestimme ich den Prozensatz der Header Daten?

Eine Anwendung erzeugt 40 Bytes Nutzdaten, die zuerst in einem einzigen TCP- Segment verpackt werden und danach in einem einzigen IP-Paket verpackt werden. Bestimmen Sie den Prozentsatz der Header-Daten im IP-Paket und den Prozentsatz der von der Anwendung erzeugten Nutzdaten.

...zur Frage

Merkwürdiger Datenverkehr auf Wireshark?

Guten Abend liebe IT-Fachleute und Frauen natürlich,

Ich habe heute über Wireshark mehrere Stunden meinen eigenen Network traffic aufgezeichnet, um ihn daraufhin zu analysieren. Bei der Analyse sind mir Merkwürdige Aktivitäten aufgefallen.

Zumal erhalte und sende ich Merkwürdige TCP zu einer mir unbekannten IP-Adresse, die TCP Pakete bestehen oft aus ACK-Flags, zudem finden sich aber auch einschlägige Reset Flags die daraufhin die Kommunikation mit Fin Flags schließen, was mich besonders misstrauisch gemacht hat das diese Paket mit "Payload Length" angegeben werden. Nach den Fin-Flags startet ein neuer Handshake der daraufhin über einen verschlüsselte TLSv1.3 Paket kommuniziert, auf diesen erhöhen sich die "Payload Length" drastisch auf 1140 bytes.

Kann mir jemand erklären ob es sich um Malware handelt? Ich habe die IP Adresse zurück verfolgt, sie befindet sich in Frankfurt Am Main, nun wird es ebenfalls interessant. Es handelt sich um die Organisation "AS15169 Google LLC" ist das ein Trojaner von Googel?

...zur Frage

TCP/IP-Pakete manipulieren?

Ich frage mich interessehalber, kann man Die Quell-IP-Adresse auf Bit Ebene meines Pakets, vor dem verschicken manipulieren?

Oder sagt dann mein erster Knoten also der Router wahrscheinlich, schon das das nicht hinkommen kann?

...zur Frage

Nicht persistentes HTTP hat für jede Request einen anderen Socket?

Die Aussage hat mein Professor in einem Video zu "Informationsübertragung" im Bezug auf TCP Socket gesagt.

Ein TCP Socket wird doch eindeutig durch Quell- und Ziel IP und Quell- und Ziel Port identifiziert, also ein Viertupel.

Wenn wir jetzt eine Website mit nicht persistenten HTTP runterladen, dann wird also laut Aussage des Professors für jedes inline Objekt ein eigener TCP Socket erstellt. Aber welche der vier Einträge des Tupels ändert sich denn? Einer muss ja verschieden sein, damit die Sockets auch verschieden sind? Ich könnte mir nur vorstellen, dass der Server eben für jedes Objekt einen neuen Socket öffnet und der Ziel Port sich dann aus Sicht des Clients ändert? Aber ist das bei einer großen Website mit teilweise 100 inline Objects nicht dann etwas sehr aufwendig?

Und noch eine dritte Frage: Ist die Ziel IP nicht sowieso immer gleich? Oder inwiefern kann die sich unterscheiden? Also warum wird sie benötigt um TCP Sockets zu identifizieren? Kann ein Server zwei TCP Sockets haben, bei denen alles gleich ist außer die Ziel IP?

Sry falls das vllt dumme Fragen sind, ich studiere eigentlich Mathe und habe Info nur als Nebenfach^^

MfG

...zur Frage

Meine IP Adresse im Gmail Header?

Hallo zusammen,
wenn ich mit einem Gmail account jemandem eine Mail schreibe, kann der empfänger dann meine IP adresse sehen im header oder nur die des Google smtp servers?

...zur Frage

c# tcp server welche IP adresse?

Hallo,

ich möchte mit nem freund online chatten (tcp ) aber mein problem ist das ich nicht weiß was für eine ip ich eingeben muss(da wo 127.0.0.1)...:

            client = new SimpleTcpClient();
            client.StringEncoder = Encoding.UTF8;
            client.DataReceived += Client_DataReceived;
            client.Connect("127.0.0.1", Convert.ToInt32("80"));

...zur Frage

Wie kann ich im E-Mail-Header erkennen, ob IP-Adresse durch VPN verschleiert wurde?

...zur Frage

Ist es möglich die ip adresse von jemand anderen zu simulieren?

Zum Beispiel das jemand meine IP Adresse nimmt und damit Straftaten begeht?

Nehmen wir an jemand schreibt sich selber auf der Arbeit an mit beleidigenden Inhalt, benutzt aber meine IP adresse sowie den Header um mir eine straftat anzuhängen,geht dies?

Die ip adresse wurde per ps4 konsole ermittelt von mir,worüber ich vorher mit einer Person gezockt habe.

...zur Frage

Warum entfernt Proton Mail die IP Adresse aus dem Header wenn diese sowieso nur dem Server gehört und nicht den Absender identifizieren lässt?

...zur Frage

Wie funktioniert die Weiterleitung von Daten im Internet in Beziehung zu dem TCP/IP Model (hop-by-hop routing)?

Hallo zusammen,

ich schreibe nächste Woche eine Klausur unter anderem über das Thema Internet, OSI model und TCP/IP. Ich habe jede Schicht soweit verstanden und auch die Beziehung der Modelle untereinander. Anhand eines Beispiels wurde uns die Kommunikationsschritte zwischen einer Application und einem Server erklärt, wovon ich jedoch einige Punkte nicht verstehe. Die Schritte sind folgende:

Aufgabe: Send HTTP message M to host www.x.de

Perform DNS lookup for www.x.de
Encapsulate TCP header
Encapsulte IP heade r
Routing decision to determine IP address of next hop router
ARP lookup to determine MAC address for IP_R
Encapsulate IP datagram with LAN-specific header with MAC address, send via LAN to router

(repeat steps 4-6 to reach destination)

Ich verstehe nun nicht, was genau bei den Punkten 5 und 6 passiert und wäre dankbar, wenn mir diese jemand erklären könnte. Vielen Dank im voraus

...zur Frage

Minecraft Andere Spieler auf privaten Servern einladen geht nicht?

Moin,

ich habe es geschafft, nen eigenen Server zu erstellen (mit server.jar). Ich kann ihn selber mit der IP Adresse "Localhost" betreten, aber wie können andere ihn betreten? Die Ports habe ich auch schon freigegeben (Die Sache mit TCP und UDP). Habe dann meine IP Adresse bei www.wieistmeineipadresse.de abgelesen und dann meiner Freundin gegeben. Aber wenn sie die eingibt, steht da immer "Verbindung zum Server kann nicht hergestellt werden".

Haben versucht nur die IP Adresse einzugeben aber auch einen Doppelpunkt hinter der IP Adresse gemacht und dann den Port angegeben (IP-ADRESSE:25565). Beides geht halt wie gesagt nicht. Was machen wir falsch?

...zur Frage

Frage bezüglich der IP-Adresse bei Emails?

Hey Freunde, ich muss leider nochmal eine Frage stellen, da es mir einfach NICHT KLAR ist. Beim Mailverkehr wird ja nur die IP-Adresse des Mail-Providers mitgegeben.

Wenn ich beim Header einer erhaltenen Mail eines Bekannten zb. die IP-Adresse in die Kommandozeile kopiere und "nslookup" eingebe, spuckt er mir "fritz.box" aus inklusiver einer Adresse.

Was ist das jetzt genau? Die Fritzbox des Bekannten?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen