Zugewiesene IP Adressen loggen

[Schmitty01]

Hi,

im Zuge solcher Meldungen vermisse ich in JFritz eine Anzeige der zugeteilten IP Adressen.
Ich weiß zwar das JFritz für Anrufe gedacht ist, allerdings würde sich das eigentlich ideal, Analog zur Anrufliste, als weitere Karteikarte integrieren lassen und den Nutzwert steigern.

Kann allerdings den nötigen aufwand nicht abschätzen und ob auch andere an so etwas Interesse haben?

Gruß

Schmitty

 

[robot_rap]

Hi Schmitty,

ich bin dagegen, so eine Funktion in JFritz einzubauen. Wie du schon selbst geschrieben hast, ist JFritz für Anrufe gedacht.

So etwas zu implementieren ist ziemlich einfach und deshalb gehe ich davon aus, dass es schon massig solche Programme geben müsste.

Gruß,
Robert

 

[sven@mainz]

Theoretisch bräuchte man nur das Ereignis-Log der Box auszulesen, bei den Internetverbindungs-Ereignissen steht das ja drin.

 

[Schmitty01]

Hallo,

erst mal vielen Dank für die Kommentare.

Das Interesse scheint ja allgemein nicht so groß zu sein das es eine solche Funktion rechtfertigt.

Das die entsprechenden Daten in der Fritzbox vorliegen war mir bekannt deswegen lag die Idee ja auch nciht ganz so weit weg, meiner Meinung nach.

Andere Programme die ein solches Feature haben habe ich leider nicht gefunden, evtl. hat ja jemand einen Tip?

Gruß

Schmitty

 

[Whoopi]

Hi!

Also erstmal: Ich bin auch dagegen! Wäre wirklich komplett am Ziel vorbei.

Ansonsten kann man z.B. leicht mit Hilfe weniger Scriptzeilen die aktuelle IP-Adresse aus dem Webinterface auslesen und loggen. Falls gewünscht poste ich ein paar Zeilen dazu. Ansonsten wird man auch hier im Forum fündig...

Gruß,
Whoopi

 

[Herman]

Hallo Schmitty.

Das die entsprechenden Daten in der Fritzbox vorliegen war mir bekannt

Hast Du denn den Fritz!Box Push Service aktiv?
Dann archiviere doch einfach die Mails, und Du kannst bei Bedarf nachsehen, zu welchem Zeitpunkt Du welche IP gehabt hast...

Gruß
Hermann

 

[Whoopi]

Der Push-Service schickt die Status-Mail aber nur einmal pro Tag raus. Da bekommt man also nicht wirklich alles mit....

 

[sven@mainz]

Normal ist die Box ja auch 24 Stunden unter einer IP dran.

 

[Herman]

Der Push-Service schickt die Status-Mail aber nur einmal pro Tag raus. Da bekommt man also nicht wirklich alles mit....

Dem OP ging es ja eher darum, im Falle einer Strafverfolgung prüfen zu können,
ob die "beschuldigte IP" wirklich zum fraglichen Zeitpunkt von ihm benutzt wurde (siehe Link im Ursprungsposting).
Und in einem solchen Fall ist weniger die IP der letzten Stunde interessant,
sondern eher die IP, die vor einem halben Jahr zugewiesen war...

Gruß
Hermann

 

[Schmitty01]

Hallo,

wie Hermann schon erwähnte ging es (mir) darum nachvolziehen zu können ob ich ggf. unter einer IP Adresse unterweges gewesen bin. Wie man aus dem verlinkten Artikel sehen kann wurden bei der weitergabe Zahlen der IP Adresse vertauscht und so ein unbeteiligter in die Abmahnmaschinerie gezogen.

Also ich habe weder im Forum noch über Google was passendes finden können, daher wäre ich an Links interessiert.
Alternativ würde ich auch die Codeschnipsel nehmen, evtl. bekäme ich es ja auch hin da was zu frickeln.

Gruß

Schmitty

 

[Whoopi]

..Und in einem solchen Fall ist weniger die IP der letzten Stunde interessant, sondern eher die IP, die vor einem halben Jahr zugewiesen war...

So würde ich das nicht sehen: Eine 24-Stunden-Verbindung ohne Trennung ist finde ich eine ziemlich idealisierte Annahme, denn einmal treten doch immer schon einmal (zumindest bei meinen beiden Anschlüssen) Verbindungsabrüche auf oder man trennt aus irgendwelchen anderen Gründen absichtlich die Verbindung. Daher ist es _sehrwohl_ sinnvoll, _jeden_ IP-Adreßwechsel zu loggen und nicht nur die IP-Adresse, die der Box irgendwann nachts um 0 Uhr zugewiesen war! Ansonsten haette man nur ein mitunter recht löchriges Log seiner Verbindungsdaten. (Wobei die eMail des Push-Service natürlich wiederum einen offizielleren Charakter hat.)

Gruß,
Whoopi

 

[Herman]

Hallo Whoopi.

Eine 24-Stunden-Verbindung ohne Trennung ist finde ich eine ziemlich idealisierte Annahme

Da hast Du natürlich Recht.

Daher ist es _sehrwohl_ sinnvoll, _jeden_ IP-Adreßwechsel zu loggen und nicht nur die IP-Adresse, die der Box irgendwann nachts um 0 Uhr zugewiesen war

Die Push-Mail enthält (wenn man idealisiert davon ausgeht, dass das Ereignisprotokoll jederzeit komplett ist) alle im vorhergehenden Zeitraum stattgefundenen IP-Zuweisungen.
Mein Vorschlag, den Push-Service zu nutzen, sollte eigentlich ein Hinweis darauf sein, dass für Schmittys Zwecke kein "Live-Monitoring" zugewiesener IP-Adressen nötig ist...

Wobei die eMail des Push-Service natürlich wiederum einen offizielleren Charakter hat.

Ein gerichtsverwertbarer Beweis kann eine Protokollierung auf Seite des Kunden sowieso nicht sein. Dem Schmitty ging es ja eher darum, möglicherweise fehlerhafte Beschuldigungen erkennen zu können. Den tatsächlichen Beweis muss dann Jemand anderes erbringen.

Gruß
Hermann

 

[Whoopi]

Die Push-Mail enthält (wenn man idealisiert davon ausgeht, dass das Ereignisprotokoll jederzeit komplett ist) alle im vorhergehenden Zeitraum stattgefundenen IP-Zuweisungen.

Achja, stimmt. Hatte ich vergessen... -- Wobei glaube ich das Ereignisprotokoll beim reboot der Box gelöscht wird...

...dass für Schmittys Zwecke kein "Live-Monitoring" zugewiesener IP-Adressen nötig ist...

Da hast Du Recht! Ich verwende es bei mir hauptsächlich als Hintertür, um die Box auch dann noch erreichen zu können, wenn das DDNS-Update beider Accounts fehlgeschlagen ist.

Ein gerichtsverwertbarer Beweis kann eine Protokollierung auf Seite des Kunden sowieso nicht sein.

Schon klar. Ich denke aber trotzdem, daß die "Original"-Mail der Box höher gewertet wird, als irgendwelche Mails eines selbstgebastelten Scripts. *gg*[/QUOTE]

Gruß,
Whoopi

 

[u.g]

Alternativ würde ich auch die Codeschnipsel nehmen, evtl. bekäme ich es ja auch hin da was zu frickeln.

<sorry, eigentlich OT, weils nix mit Jfritz zu tun hat>

Ich mache es so:

- multid stoppen und so neu starten, dass bei Verbindungstrennung und -aufbau ein Script aufgerufen wird, das etwa so aussieht:

#!/bin/sh

case "$1" in
        online)
                echo -e "$0: $1\t`date`" >> /var/tmp/log
                dmesg | grep set_snd_ipaddr | sed 's/.*: //g' >> /var/tmp/log
        ;;
        offline)
                echo -e "$0: $1\t`date`" >> /var/tmp/log
        ;;
esac

Du kannst die IP z.B. in eine andere Datei schreiben (sinnvoll, wenn du ext. Datenträger an deiner FB hast) oder sie dir per Mail schicken lassen. Siehe dazu z.B. hier, dort steht auch eine andere Möglichkeit, die akt. IP zu ermitteln (oder such mal nach onlinechanged im Forum).

Zum Beenden/Neustarten von multid habe ich das in meiner debug.cfg:

multid -s
sleep 4
if [ -x /var/tmp/stick/onlinechanged ]; then 
        multid -S /var/tmp/stick/onlinechanged
fi

 

[wichard]

Ich denke aber trotzdem, daß die "Original"-Mail der Box höher gewertet wird, als irgendwelche Mails eines selbstgebastelten Scripts.

Diese "Original-Mail" ist in 30 sec. gefälscht.

Andererseits erschließt sich mir der Sinn im Zusammenhang mit der verlinkten Meldung nicht: Der "Beschuldigte" hatte ja zum fraglichen Zeitpunkt die der Staatsanwaltschaft gemeldete IP (könnte das also mit seinem eigenen Log sogar nur bestätigen). Die Wahrscheinlichkeit, dass der Provider die Dir zugewiesene IP mit einem Zahlendreher speichert, halte ich für ziemlich gering...


Gruß,
Wichard

 

[Telefonmännchen]

Schon klar. Ich denke aber trotzdem, daß die "Original"-Mail der Box höher gewertet wird, als irgendwelche Mails eines selbstgebastelten Scripts.

Dem stimme ich auch voll zu, zumal jede über einen Provider versendeten Mails eine Message-ID besitzt, an Hand derer sich die Authentizität "beweisen" ließe (zumindest müßte eine Anwender etwas Aufwand betreiben, um das zu fälschen). Das hat zumindest ansatzweise beweisenden Charakter. Eher als ein eigenes Log-Script. Und wenn mal irgendwelche wildgewordenen Medienkonzerne (hoffentlich ungerechtfertigt) ihre horrenden überzogenen Forderungen stellen, ist man um jeden Strohhalm dankbar. Viele Puzzleteile ergeben schließlich auch ein Bild.

Man selbst kann die entlastenden echten Daten von seinem Provider kaum noch erhalten, da bei der Arbeitsgeschwindigkeit unserer Justiz die Forderungen erst nach Ablauf der Speicherungsfrist gestellt werden dürften.

Gruß Telefonmännchen

EDIT: (habe wohl zu langsam getippt)

Die Wahrscheinlichkeit, dass der Provider die Dir zugewiesene IP mit einem Zahlendreher speichert, halte ich für ziemlich gering...

Ich auch, aber manchmal sind halt mehrere Provider und auch Firmen im Boot. Und bei der Erstellung von Anzeigen wirken auch Menschen mit, die sich durchaus mal "vertippen" können. Wenn berechtigte Zweifel bestehen, daß ich zum fraglichen Zeitpunkt eine andere IP zugewiesen bekommen habe, dann muß auch die Gegenseite die Hosen runterlassen um mit ihrer Datenerfassung die Richtigkeit ihrer Daten zu beweisen. Und eventuelle Zahlendreher sollten dann herauskommen.
Ich zitiere mal aus dem Artikel:

Der Zahlendreher war aktenkundig, hätte also von der Kanzlei Rasch erkannt werden können.

 

[wichard]

Dem stimme ich auch voll zu, zumal jede über einen Provider versendeten Mails eine Message-ID besitzt, an Hand derer sich die Authentizität "beweisen" ließe

Eben - jede Mail hat eine Message-ID. So auch die "gefälschte". Mir ist nicht klar, was die Message-ID beweisen soll - ausser, dass die Mail über einen Server von 1&1 (oder welchem Provider auch immer) gelaufen ist.

Ich zitiere mal aus dem Artikel:

Schau aber bitte im Artikel noch einmal nach, wo der Zahlendreher passiert ist: Nämlich lange, bevor der Computer des Providers (dem ich mal keinen Zahlendreher zumute) in seiner Datenbank den richtigen Benutzer zur (falsch) eingegebenen IP rausgesucht hat. Mit Deinem Log kannst Du also tatsächlich nur beweisen, dass Du wirklich in diesem Moment die monierte IP hattest - und das hilft nicht wirklich weiter...


Gruß,
Wichard

 

[Herman]

Hallo Wichard.

Auch wenn wir jetzt völlig OffTopic sind...

Schau aber bitte im Artikel noch einmal nach, wo der Zahlendreher passiert ist:

Der Zahlendreher ist nicht bei der IP-Adresse passiert, sondern bei der Nutzerkennung.
Der fälschlicherweise Beschuldigte konnte anhand seiner Logdateien darlegen, dass er zum fraglichen Zeitpunkt nicht Benutzer der festgestellten (und in der Abmahnung genannten) IP war.
Es könnte theoretisch auch ein Dreher in der IP-Adresse zu einer ungerechtfertigten Beschuldigung führen, und in beiden Fällen (Irrtum bei der Nutzerkennung oder Irrtum bei der IP-Adresse) könnte durch geloggte IP-Adressen dieser Irrtum aufgedeckt werden.
Aber ich muss Dir Recht geben, dass ein solcher Irrtum vermutlich äusserst selten auftreten wird...

Gruß
Hermann

 

[Telefonmännchen]

Aber ich muss Dir Recht geben, dass ein solcher Irrtum vermutlich äusserst selten auftreten wird...

Davon gehe ich auch aus, aber es gibt sicherlich auch Konstellationen, bei denen es von Nutzen sein kann.

Bei den entsprechenden Unternehmen und Institutionen arbeiten auch nur Menschen, und wenn die mal losgelassen, braucht man alles, was Hilfe ist.

Zur Message-ID noch eine kurze Bemerkung. Wer wird schon im Vorfeld eine Mail fälschen, wenn gegen ihn noch gar nicht ermittelt wird. Wenn die entsprechenden Mails dann noch auf dem Server eines Mailproviders liegen, dann gesteht wohl jeder Richter auch dem eine glaubhafte Beweisfähigkeit zu. Zumindest genau so zuverlässig, wie die Logfiles des Klägers. Galt in D nicht noch "in dubio pro reo"?

Ich gehe bei meiner Argumentation immer noch davon aus, zu unrecht in Anspruch genommen zu werden. Und da ist man um jeden Gegenbeweis froh. Und wenn man eben nicht die entsprechenden Programme nutzt und trotzdem in den Strudel gerät (aus welchem Grund auch immer), dann kann einem genau so etwas helfen, die Richtigkeit der erhobenen Daten anzuzweifeln.

Jetzt wirds aber richtig OT, darum soll es von meiner Seite genug dazu sein. Ich "logge" meine IP so. Wie es jeder andere macht, sei ihm überlassen.

Gruß Telefonmännchen