"bewußt" oder Opfer !
Hallo zusammen ....
habe heute einen User vom Netz nehmen müssen, welcher in einem meiner WLAN-angebundenen Netze folgende -ARP-Paket (flood)"versandt hat" :
No. Time Source Destination Protocol Length Info
3 0.146884 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.1? Tell 169.254.10.52
4 0.146887 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.2? Tell 169.254.10.52
5 0.146889 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.3? Tell 169.254.10.52
6 0.146890 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.4? Tell 169.254.10.52
7 0.146891 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.5? Tell 169.254.10.52
8 0.146892 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.6? Tell 169.254.10.52
9 0.146893 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.7? Tell 169.254.10.52
10 0.146894 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.8? Tell 169.254.10.52
11 0.146895 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.9? Tell 169.254.10.52
12 0.146897 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.10? Tell 169.254.10.52
13 0.146898 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.11? Tell 169.254.10.52
14 0.146899 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.12? Tell 169.254.10.52
15 0.146900 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.13? Tell 169.254.10.52
16 0.146901 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.14? Tell 169.254.10.52
17 0.146902 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.15? Tell 169.254.10.52
18 0.146903 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.16? Tell 169.254.10.52
19 0.146972 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.17? Tell 169.254.10.52
20 0.146974 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.18? Tell 169.254.10.52
weiter bis ...
1452 9.146035 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.230.1? Tell 169.254.10.52
weiter bis ...
4938 30.143310 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.232.128? Tell 169.254.10.52
Frame 4938: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: BiostarM_a4:3e:8d (00:30:67:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
Nun zur Frage, könnte dies auch das Ergebnis bestimmter Umstande sein ... z.B. Wurm, Virus etc. .... oder doch eher eine Bewußte Datenflut !!!
Wegen diesem Traffic standen Teile meines Netzwerkes still. Ich musste rausfahren.
Es geht um eine möglich Vertragskündigung. Danke für Eure Einschätzung
MFG
habe heute einen User vom Netz nehmen müssen, welcher in einem meiner WLAN-angebundenen Netze folgende -ARP-Paket (flood)"versandt hat" :
No. Time Source Destination Protocol Length Info
3 0.146884 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.1? Tell 169.254.10.52
4 0.146887 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.2? Tell 169.254.10.52
5 0.146889 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.3? Tell 169.254.10.52
6 0.146890 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.4? Tell 169.254.10.52
7 0.146891 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.5? Tell 169.254.10.52
8 0.146892 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.6? Tell 169.254.10.52
9 0.146893 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.7? Tell 169.254.10.52
10 0.146894 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.8? Tell 169.254.10.52
11 0.146895 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.9? Tell 169.254.10.52
12 0.146897 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.10? Tell 169.254.10.52
13 0.146898 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.11? Tell 169.254.10.52
14 0.146899 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.12? Tell 169.254.10.52
15 0.146900 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.13? Tell 169.254.10.52
16 0.146901 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.14? Tell 169.254.10.52
17 0.146902 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.15? Tell 169.254.10.52
18 0.146903 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.16? Tell 169.254.10.52
19 0.146972 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.17? Tell 169.254.10.52
20 0.146974 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.18? Tell 169.254.10.52
weiter bis ...
1452 9.146035 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.230.1? Tell 169.254.10.52
weiter bis ...
4938 30.143310 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.232.128? Tell 169.254.10.52
Frame 4938: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: BiostarM_a4:3e:8d (00:30:67:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
Nun zur Frage, könnte dies auch das Ergebnis bestimmter Umstande sein ... z.B. Wurm, Virus etc. .... oder doch eher eine Bewußte Datenflut !!!
Wegen diesem Traffic standen Teile meines Netzwerkes still. Ich musste rausfahren.
Es geht um eine möglich Vertragskündigung. Danke für Eure Einschätzung
MFG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355582
Url: https://administrator.de/contentid/355582
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
16 Kommentare
Neuester Kommentar
Dat is der APIPA Range ... Da hat wohl ein Device keine IP bekommen und Windows vergibt ihm dann eine aus dem APIPA Bereich und da sucht es sich dann in dem Netz natürlich dumm und dämlich
https://de.wikipedia.org/wiki/Zeroconf
https://de.wikipedia.org/wiki/Zeroconf
Hallo,
man kann so etwas auch mittels einiger Maßnahmen abstellen;
- Port Security Einstellungen (dort wo der WLAN AP am Port hängt)
- Flood Protection am Switch
- ARP Guard
und dann dort mittels diesen Gerätes ein weiteres mit im Netzwerk zu registrieren und eben diese IP war dann schon vergeben.
Gruß
Dobby
man kann so etwas auch mittels einiger Maßnahmen abstellen;
- Port Security Einstellungen (dort wo der WLAN AP am Port hängt)
- Flood Protection am Switch
- ARP Guard
Dat is der APIPA Range ...
Sehe ich ganz genau so.12 0.146897 BiostarM_a4:3e:8d
Man kann auch versucht haben ein Gerät mittels WLAN in das Netzwerk zu bringen und/oder ein Gerät am WLAN anzumeldenund dann dort mittels diesen Gerätes ein weiteres mit im Netzwerk zu registrieren und eben diese IP war dann schon vergeben.
Gruß
Dobby
Ging ja auch nur um den APIPA Adressbereich und wie er vergeben wird.
Der User ist ganz klar ein Hacker. Der hat das hier laufen mit gracious ARPs:
Netzwerk Management Server mit Raspberry Pi
Der User ist ganz klar ein Hacker. Der hat das hier laufen mit gracious ARPs:
Netzwerk Management Server mit Raspberry Pi
. Und ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze
Gott sei ihm gnädig
Gratuitious ARP vermag ich aus den Paketinformationen nicht zu erkennen.
Für Gratuitious ARP brauchst du keine Fragen sondern Antworten und die kann ich da nicht sehen.
Und ob das wirklich unbewusst oder mit Absicht war kann ich da auch nicht erkennen.
Wenn da unbemerkt irgendeine Software auf dem Rechner Amok läuft, von der der Nutzer nichts weiß...
Das sieht zwar nicht nach einem Probing durch APIPA aus (da wäre die Source-IP 0.0.0.0), aber wer weiß was da für ein OS mit welcher kaputten Konfiguration läuft.
Besser wäre entweder DHCP in das Netz zu bringen oder statisch IPs aus RFC1918 zu vergeben.
Für Gratuitious ARP brauchst du keine Fragen sondern Antworten und die kann ich da nicht sehen.
Und ob das wirklich unbewusst oder mit Absicht war kann ich da auch nicht erkennen.
Wenn da unbemerkt irgendeine Software auf dem Rechner Amok läuft, von der der Nutzer nichts weiß...
Das sieht zwar nicht nach einem Probing durch APIPA aus (da wäre die Source-IP 0.0.0.0), aber wer weiß was da für ein OS mit welcher kaputten Konfiguration läuft.
Besser wäre entweder DHCP in das Netz zu bringen oder statisch IPs aus RFC1918 zu vergeben.
Hallo,
Eventuell dem Client beibringen sich vernuenftig im Netzwerk zu bewegen ist keine Option?
Was hat das mit WLAN zu tun?
Ok. Sportlich.
Immer dieses Kanonenballern auf die niedlichen Meisen. Koennt ihr nicht mal die Ursache beseitigen anstatt die Auswirkung zu bekaempfen?
BFF
... eine Regel schreiben ist wohl das einzige was hier hilft. Wollte nur nicht das RB damit belasten.
Eventuell dem Client beibringen sich vernuenftig im Netzwerk zu bewegen ist keine Option?
Werde wohl dann doch einen anderen Switch besorgen.
Was hat das mit WLAN zu tun?
Und ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze und keine einziges Interface flutet so wie dieser User !
Ok. Sportlich.
Immer dieses Kanonenballern auf die niedlichen Meisen. Koennt ihr nicht mal die Ursache beseitigen anstatt die Auswirkung zu bekaempfen?
BFF
Ich hoffe doch das du nicht wirklich Netze absichtlich in diesem Bereich betreibst - wenn doch wäre ich durchaus für eine Vertragskündigung. DEINE!
Und ob ein Benutzer etwas absichtlich macht oder nicht - sorry, woher soll das hier jemand wissen? Zumindest ich kenne die Person vorm Rechner nicht und weiss nicht was die für Kenntnisse usw. hat. Im schlimmsten Fall haben alle in dem Netz volle Admin-Rechte und da eben per Drive-By nen Virus gefangen. Auch in dem Fall würde ich für eine Vertragskündigung plädieren - und wieder für DEINE! Denn dann hat derjenige der für das Netz verantwortlich ist seine Hausaufgaben bis heute nicht gemacht.
Und erst wenn wirklich sicher ist das der Rechner absichtlich missbraucht wurde wäre das was für den wirklichen Angestellten. Selbst wenn da jemand seine Hardware von Zuhause anklemmt kann man dem sicherlich (und sollte auch!) was auf den Kopf hauen. Von Vertragskündigung kannst du nur dann sprechen wenn du deine eigene meinst - weil immerhin hast du auch nix unternommen um dein Netz eben genau davor zu schützen (Flood-Protection, Mac-Filter,...).
Von daher: Erst gucken, DANN Nachdenken, und dann das Problem beheben....
Und ob ein Benutzer etwas absichtlich macht oder nicht - sorry, woher soll das hier jemand wissen? Zumindest ich kenne die Person vorm Rechner nicht und weiss nicht was die für Kenntnisse usw. hat. Im schlimmsten Fall haben alle in dem Netz volle Admin-Rechte und da eben per Drive-By nen Virus gefangen. Auch in dem Fall würde ich für eine Vertragskündigung plädieren - und wieder für DEINE! Denn dann hat derjenige der für das Netz verantwortlich ist seine Hausaufgaben bis heute nicht gemacht.
Und erst wenn wirklich sicher ist das der Rechner absichtlich missbraucht wurde wäre das was für den wirklichen Angestellten. Selbst wenn da jemand seine Hardware von Zuhause anklemmt kann man dem sicherlich (und sollte auch!) was auf den Kopf hauen. Von Vertragskündigung kannst du nur dann sprechen wenn du deine eigene meinst - weil immerhin hast du auch nix unternommen um dein Netz eben genau davor zu schützen (Flood-Protection, Mac-Filter,...).
Von daher: Erst gucken, DANN Nachdenken, und dann das Problem beheben....
ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze und keine einziges Interface flutet so wie dieser User !
sorry, stehe auf dem Schlauch, ist damit gemeint, dass
1. Du dutzende Netze hast, in denen die Geräte einen DHCP Server suchen, der dort nicht zu finden ist oder
2. Du vergibst manuell Adressen aus der APIPA range und das Gerät ist das einzige, das nach einem DHCP Server sucht oder
3. sollte das Gerät auch eine feste Adresse aus der range haben?
lg
1.) APIPA ist nur ein IP Netz mit einem /16 Prefix. Hätte man auch ergoogeln können:
https://de.wikipedia.org/wiki/Zeroconf
2.) Wäre tödlich und auch ziemlich töricht und sinnfrei. Nur Dummies ohne IP Adressierungs Kenntniss würden sowas machen. Die APIPA Range ist von der IANA fest reserviert und damit Tabu für einen statische Vergabe.
Der APIPA Mechanismus ist ja nur ein absoluter Notnagel um ein DHCP Client nicht gänzlich ohne IP im Netz stehen zu lassen wenn kein DHCP Server da ist. 0.0.0.0 geht ja wohl schlecht als IP, oder ? So bekommt er wenigstens eine IP um sich bemerkbar zu machen. Wenn auch die falsche in einem vorgegebenen IP Segment.
Kommt man doch aber auch selber drauf wenn man mal ein ganz klein wenig nachdenkt !
3.) Der APIPA Range ? Niemals ! Sowas verbietet sich aus Antwort Nummer 2. Dieser Zufalls Mechnaismus ist fest im IP Stack integriert. Damit Tabu für statische Vergabe wie oben schon gesagt.
Siehe auch alle Weisheiten dazu in dem "Zeroconf" Artikel oben.
https://de.wikipedia.org/wiki/Zeroconf
2.) Wäre tödlich und auch ziemlich töricht und sinnfrei. Nur Dummies ohne IP Adressierungs Kenntniss würden sowas machen. Die APIPA Range ist von der IANA fest reserviert und damit Tabu für einen statische Vergabe.
Der APIPA Mechanismus ist ja nur ein absoluter Notnagel um ein DHCP Client nicht gänzlich ohne IP im Netz stehen zu lassen wenn kein DHCP Server da ist. 0.0.0.0 geht ja wohl schlecht als IP, oder ? So bekommt er wenigstens eine IP um sich bemerkbar zu machen. Wenn auch die falsche in einem vorgegebenen IP Segment.
Kommt man doch aber auch selber drauf wenn man mal ein ganz klein wenig nachdenkt !
3.) Der APIPA Range ? Niemals ! Sowas verbietet sich aus Antwort Nummer 2. Dieser Zufalls Mechnaismus ist fest im IP Stack integriert. Damit Tabu für statische Vergabe wie oben schon gesagt.
Siehe auch alle Weisheiten dazu in dem "Zeroconf" Artikel oben.