Wat oude informatie:
https://www.eff.org/press/mentions/2008/8/1
https://www.eff.org/wp/detecting-packet-injection

Er zijn verschillende mogelijkheden gegeven;

zoals idd via 'tijd controle' over 'hoe lang pakketten erover doen', bijvoorbeedl geeikt aan een niet getapte controle verbinding.

maar ook via een op maat gemaakte tunnel, of 'verlies van signaal' te meten over afstand (wat er is bij tot en met fiber optik en waar tot en met bij fiber optik taps/router punten etc meetbaar gegeven zijn)

Beatnix:

EFF geeft alleen weer hoe je wireshark moet draaien op 2 endpoints en dat je packets moet vergelijken. Ze hebben nog een handige tool (Python script) die tcpdump packets vergelijkt in een diff.

Maar de vraag van de poster hier is hoe je aan de hand van timing informatie kunt zien of je wordt. I don't know.


RST spoof pakketjes en teardowns dat kennen we allemaal. Ik zelf ben ook getarget door de NSA en kun je alvast zeggen dat dat geheel automatisch is. Ze targetten gewoon alles wat aan je IP linkt en is daarom heel erg reproduceerbaar. Behalve bij plaintext dan is het alleen sniffen en de verbinding is normaal ;-) Ik zit zelf in een rare situatie, misschien ga ik mijn attacks maar eens online gooien dat het dan ophoudt... is niet normaal meer.

Ja zou ik doen! Kunnen wij ook eens lachen...

DPI is dood sinds encryptie tenzij SSLbump etc. Nu verzorgt Google en Facebook en de cloud de tracking voor surveillance.

Sure, als je als network security engineer DPI moet gebruiken, voor je werkzaamheden, bel je Google of Facebook. Want die hebben tap punten in het netwerk van je werkgever ;)))))

Voor android is er NSA blocker.

Ik heb ervaren dat als je getarget wordt ze niet veel aan Injection doen maar wel SSL disrupteren door TCP RST Injection (dat dan wel) en SSL protocol Tear-downs waarbij de protoco errors je om de oren vliegen. Dit soort targeting (militair industrieel complex) is automatisch want het stopt niet als ik Wireshark download en ga monitoren, het gaat gewoon 24/7 door in de hoop dat sommige browsers op mijn IP naar een onveilige SSL (nu TLS) overstapt. Het zijn vaker reconfig requests (de TLS protocol errors en vooral de Type 22). Niet iets om wakker over te liggen maar deze aanvallen zorgen wel voor een minderen internet ervaring. Ja, dit gebeurt dus ook actief in Nederland (er komen nu vast weer reacties mensen die de psychiater willen bellen enfin.. niet boeiend) Wat de winst is? Dat weet niemand. Van hardware en providers veranderen heeft geen zin en ik denk niet dat het op ISP level ligt maar hoger (IX'en of ertussenin? dat weet ik ook niet.. de fysieke DPI apparatuur is namelijk niet te traceren van binnen een "container laag" van het OSI model)

Je bedoelt dan het militaire intel complex zelf i.s.m. "de diensten" ? Want Google of Facebook als commercieel bedrijf heeft totaal geen baat of of resources "tussen elke ISP/ bij je werkgever" tap punten te plaatsen. Dat Nederlandse ISPs op verzoek (wettelijk geregeld is dus heel andere koek!) moeten tappen voor de AIVD is een heel andere zaak!

Facebook en Google + 1000 andere in het web krijgen de info gewoon van alle sites die een Like button of CDN server hebben of zo'n registratie/login voor een comment op een krantenartikel wat je leest. Die CDN verdienen daarbij ook commercieel hun geld terug (win win) met jouw data.

Wat mij door de jaren heen is opgevallen is dat de slimme jongens en meisjes in de Industrie heel frequent Youtube links suggereren vooral als je Tor zit en (nog) niet geidentificeerd bent - vermoed ik thans. Ik heb een vermoeden dat Youtube d.m.v. correlatie of iets anders zo door de Torbrowser heenprikt.

Heerlijk :) Eindelijk iets minder azijnzeikerigs hier

Jongens, wat een berg onzin wordt hier weer verteld. Het is niet mogelijk om te zien aan het verkeer of je wordt getapt, het verkeer wordt 1:1 gekopieerd naar een aparte poort of netwerk en daar vind analyse plaats. Aan de originele pakketjes wordt niks veranderd.

Wat er verderop op het internet gebeurd is niet relevant. Tuurlijk zal er her en der wel ergens geklooid worden met pakketjes maar ik zou er niet druk over maken. En als ik dan reacties van figuren lees die denken dat ze door de NSA ge-target worden wordt het helemaal lachwekkend.

Dan wordt er niet gesleepnet. Er bestaat geen surveillance.
Dat is pas een belachelijke visie. We zijn allemaal targets.

Dat klopt maar DPI is packet manupulation, dat kun je zien. Denk aan TLS streams of het hijacken van SIP trunks.
Wake up!

Ook het resetten van verbindingen naar bepaalde sites (sabotage) wordt gedaan.

Omleidingen van GSM traffic bestaan ook zeker op internationale lijnen naar "hete landen" inclusief real-time editen van waveforms om informatie te ontfusselen zodat je denkt dat je met iemand praat die zelf de verbinding al kwijt is.

Je mirror poort suggestie van COTS Switches en andere non-Mil apparatuur is uit het stenen tijdperk.


Wat kan ik hier op zeggen. Slaap lekker en droom verder.

Er zijn nog meer partijen dan de NSA, die zijn alleen in het nieuws gekomen door Snowden (daar is iets gruwelijk mis gegaan wat de MSM niet haalt). Er gebeuren meer dingen om je heen waar je geen gewaar van bent, misschien het beste voor je. Er zijn meer partijen en ook civiele groepen waar je je je druk over mag maken, sommigen een paar graadjes erger dan die populaire NSA. Kun je bijv. de 5 Nederlandse inlichtingendiensten opnoemen? Eerst kennis op doen voor je anderen voor gek verklaart.

DPI staat voor Deep Packet Inspection en is over het algemeen geen manipulatie behalve als je TLS tunnels gaat slopen met een MiTM maar dat is meer iets dat bedrijven doen op het corporate netwerk.

En er bestaan allerlei technieken, so what? Daar hoef jij je niet druk over te maken omdat je er nooit mee te maken krijgt. En als er gericht getapt wordt ga je dat niet merken en kun je het ook niet zien aan je verkeer.. Dat is het antwoord op de vraag.

Verder zijn mensen die denken dat ze zomaar ge-target worden door een NSA of andere veiligheidsdiensten paranoïde! Hopelijk ben je geen gevaar voor je omgeving.

Leg is uit waarom zou een veiligheidsdienst hun resources aan een keutel zoals jou besteden?, Wat maakt jou interessant voor hen of heb je wat op je geweten? Of is het misschien dat jij jezelf heel belangrijk vindt en dingen in je hoofd haalt?

En zelfs al wordt er op internet exchanges getapt volgens een sleepnet methode wordt jij niet expliciet ge-target. En al zou je het kunnen meten kun je er toch niks aan veranderen. Een complete non-discussie dus.

Wat mij opvalt bij deze site/forum, het zit hier vol met mensen die als een kip zonder kop blaten, de ene nog dommer dan de andere. Serieuze figuren uit de infosec wereld vind je hier niet want die verdoen hun tijd.. Er worden wel vragen beantwoord maar die antwoorden zijn niet van een hoger niveau dan bijv. tweakers.

Er is eigenlijk heel weinig nuttige informatie te vinden.. Zoals bijv. een best practise guide om een netwerk te beveiligen of het goed instellen van een firewall, Network intrusion and detection. etc Welke producten/tools zijn er, wat kun je het beste gebruiken. Kortom dingen waar je daadwerkelijk wat aan hebt. Deze site is een beetje een gemiste kans!

Ik kom niet verder dan 2, welke 3 mis ik nog?