ip-puppi
21.11.2017
view2904
view16
0
Goto Top

"bewußt" oder Opfer !

gelöstFrageSicherheitViren, Trojaner
Hallo zusammen ....

habe heute einen User vom Netz nehmen müssen, welcher in einem meiner WLAN-angebundenen Netze folgende -ARP-Paket (flood)"versandt hat" :


No. Time Source Destination Protocol Length Info
3 0.146884 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.1? Tell 169.254.10.52
4 0.146887 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.2? Tell 169.254.10.52
5 0.146889 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.3? Tell 169.254.10.52
6 0.146890 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.4? Tell 169.254.10.52
7 0.146891 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.5? Tell 169.254.10.52
8 0.146892 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.6? Tell 169.254.10.52
9 0.146893 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.7? Tell 169.254.10.52
10 0.146894 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.8? Tell 169.254.10.52
11 0.146895 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.9? Tell 169.254.10.52
12 0.146897 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.10? Tell 169.254.10.52
13 0.146898 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.11? Tell 169.254.10.52
14 0.146899 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.12? Tell 169.254.10.52
15 0.146900 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.13? Tell 169.254.10.52
16 0.146901 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.14? Tell 169.254.10.52
17 0.146902 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.15? Tell 169.254.10.52
18 0.146903 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.16? Tell 169.254.10.52
19 0.146972 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.17? Tell 169.254.10.52
20 0.146974 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.229.18? Tell 169.254.10.52
weiter bis ...
1452 9.146035 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.230.1? Tell 169.254.10.52
weiter bis ...
4938 30.143310 BiostarM_a4:3e:8d Broadcast ARP 60 Who has 169.254.232.128? Tell 169.254.10.52

Frame 4938: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: BiostarM_a4:3e:8d (00:30:67:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

Nun zur Frage, könnte dies auch das Ergebnis bestimmter Umstande sein ... z.B. Wurm, Virus etc. .... oder doch eher eine Bewußte Datenflut !!!


Wegen diesem Traffic standen Teile meines Netzwerkes still. Ich musste rausfahren.

Es geht um eine möglich Vertragskündigung. Danke für Eure Einschätzung


MFG
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 355582

Url: https://administrator.de/contentid/355582

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

16 Kommentare
Neuester Kommentar
Goto Top
134464
134464 21.11.2017 aktualisiert um 14:05:58 Uhr
Goto Top
Dat is der APIPA Range ... Da hat wohl ein Device keine IP bekommen und Windows vergibt ihm dann eine aus dem APIPA Bereich und da sucht es sich dann in dem Netz natürlich dumm und dämlich face-wink
https://de.wikipedia.org/wiki/Zeroconf
heart2
108012
108012 21.11.2017 um 14:30:09 Uhr
Goto Top
Hallo,

man kann so etwas auch mittels einiger Maßnahmen abstellen;
- Port Security Einstellungen (dort wo der WLAN AP am Port hängt)
- Flood Protection am Switch
- ARP Guard

Dat is der APIPA Range ...
Sehe ich ganz genau so.

12 0.146897 BiostarM_a4:3e:8d
Man kann auch versucht haben ein Gerät mittels WLAN in das Netzwerk zu bringen und/oder ein Gerät am WLAN anzumelden
und dann dort mittels diesen Gerätes ein weiteres mit im Netzwerk zu registrieren und eben diese IP war dann schon vergeben.

Gruß
Dobby
aqui
aqui 21.11.2017 um 15:45:15 Uhr
Goto Top
und Windows vergibt ihm dann eine aus dem APIPA Bereich
Macht ja bekanntlich nicht nur Winblows so sondern auch Linux und Apple wenn sie DHCP Clients sind....
IP-PUPPI
IP-PUPPI 21.11.2017 um 16:16:25 Uhr
Goto Top
... klar, aber doch bitte nicht in 30Sekunden mehr als 5.000 Pakete ... und das über 2 Tage und über eine /16 Netzmaske. Der Traffic ist NICHT normal . Und ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze und keine einziges Interface flutet so wie dieser User !
IP-PUPPI
IP-PUPPI 21.11.2017 um 16:22:48 Uhr
Goto Top
... eine Regel schreiben ist wohl das einzige was hier hilft. Wollte nur nicht das RB damit belasten. Werde wohl dann doch einen anderen Switch besorgen. Danke
aqui
Lösung aqui 21.11.2017 um 16:25:29 Uhr
Goto Top
Ging ja auch nur um den APIPA Adressbereich und wie er vergeben wird. face-wink
Der User ist ganz klar ein Hacker. Der hat das hier laufen mit gracious ARPs:
Netzwerk Management Server mit Raspberry Pi
heart1
134464
134464 21.11.2017, aktualisiert am 22.11.2017 um 10:50:09 Uhr
Goto Top
. Und ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze
Gott sei ihm gnädig face-big-smile
heart2
LordGurke
LordGurke 21.11.2017 aktualisiert um 21:44:58 Uhr
Goto Top
Gratuitious ARP vermag ich aus den Paketinformationen nicht zu erkennen.
Für Gratuitious ARP brauchst du keine Fragen sondern Antworten und die kann ich da nicht sehen.

Und ob das wirklich unbewusst oder mit Absicht war kann ich da auch nicht erkennen.
Wenn da unbemerkt irgendeine Software auf dem Rechner Amok läuft, von der der Nutzer nichts weiß...

Das sieht zwar nicht nach einem Probing durch APIPA aus (da wäre die Source-IP 0.0.0.0), aber wer weiß was da für ein OS mit welcher kaputten Konfiguration läuft.
Besser wäre entweder DHCP in das Netz zu bringen oder statisch IPs aus RFC1918 zu vergeben.
BassFishFox
BassFishFox 21.11.2017 um 21:45:13 Uhr
Goto Top
Hallo,

... eine Regel schreiben ist wohl das einzige was hier hilft. Wollte nur nicht das RB damit belasten.

Eventuell dem Client beibringen sich vernuenftig im Netzwerk zu bewegen ist keine Option?

Werde wohl dann doch einen anderen Switch besorgen.

Was hat das mit WLAN zu tun?

Und ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze und keine einziges Interface flutet so wie dieser User !

Ok. Sportlich. face-wink

Immer dieses Kanonenballern auf die niedlichen Meisen. Koennt ihr nicht mal die Ursache beseitigen anstatt die Auswirkung zu bekaempfen? face-big-smile

BFF
heart1
maretz
maretz 22.11.2017 um 06:14:30 Uhr
Goto Top
Ich hoffe doch das du nicht wirklich Netze absichtlich in diesem Bereich betreibst - wenn doch wäre ich durchaus für eine Vertragskündigung. DEINE!

Und ob ein Benutzer etwas absichtlich macht oder nicht - sorry, woher soll das hier jemand wissen? Zumindest ich kenne die Person vorm Rechner nicht und weiss nicht was die für Kenntnisse usw. hat. Im schlimmsten Fall haben alle in dem Netz volle Admin-Rechte und da eben per Drive-By nen Virus gefangen. Auch in dem Fall würde ich für eine Vertragskündigung plädieren - und wieder für DEINE! Denn dann hat derjenige der für das Netz verantwortlich ist seine Hausaufgaben bis heute nicht gemacht.

Und erst wenn wirklich sicher ist das der Rechner absichtlich missbraucht wurde wäre das was für den wirklichen Angestellten. Selbst wenn da jemand seine Hardware von Zuhause anklemmt kann man dem sicherlich (und sollte auch!) was auf den Kopf hauen. Von Vertragskündigung kannst du nur dann sprechen wenn du deine eigene meinst - weil immerhin hast du auch nix unternommen um dein Netz eben genau davor zu schützen (Flood-Protection, Mac-Filter,...).

Von daher: Erst gucken, DANN Nachdenken, und dann das Problem beheben....
heart1
aqui
aqui 22.11.2017 aktualisiert um 10:28:03 Uhr
Goto Top
Gratuitious ARP vermag ich aus den Paketinformationen nicht zu erkennen.
Technisch hast du natürlich Recht. Das war auch eher etwas spaßig, satirisch gemeint face-wink
xalroth
xalroth 23.11.2017 um 12:36:07 Uhr
Goto Top
ne IP hat er ja, ... (169.254.10.52) ... weil es kein DHCP gibt. Ich habe dutzende dieser Netze und keine einziges Interface flutet so wie dieser User !

sorry, stehe auf dem Schlauch, ist damit gemeint, dass
1. Du dutzende Netze hast, in denen die Geräte einen DHCP Server suchen, der dort nicht zu finden ist oder
2. Du vergibst manuell Adressen aus der APIPA range und das Gerät ist das einzige, das nach einem DHCP Server sucht oder
3. sollte das Gerät auch eine feste Adresse aus der range haben?

lg
aqui
aqui 23.11.2017 aktualisiert um 15:09:48 Uhr
Goto Top
1.) APIPA ist nur ein IP Netz mit einem /16 Prefix. Hätte man auch ergoogeln können:
https://de.wikipedia.org/wiki/Zeroconf

2.) Wäre tödlich und auch ziemlich töricht und sinnfrei. Nur Dummies ohne IP Adressierungs Kenntniss würden sowas machen. Die APIPA Range ist von der IANA fest reserviert und damit Tabu für einen statische Vergabe.
Der APIPA Mechanismus ist ja nur ein absoluter Notnagel um ein DHCP Client nicht gänzlich ohne IP im Netz stehen zu lassen wenn kein DHCP Server da ist. 0.0.0.0 geht ja wohl schlecht als IP, oder ? So bekommt er wenigstens eine IP um sich bemerkbar zu machen. Wenn auch die falsche in einem vorgegebenen IP Segment.
Kommt man doch aber auch selber drauf wenn man mal ein ganz klein wenig nachdenkt !

3.) Der APIPA Range ? Niemals ! Sowas verbietet sich aus Antwort Nummer 2. Dieser Zufalls Mechnaismus ist fest im IP Stack integriert. Damit Tabu für statische Vergabe wie oben schon gesagt.
Siehe auch alle Weisheiten dazu in dem "Zeroconf" Artikel oben.
xalroth
xalroth 23.11.2017 um 15:37:24 Uhr
Goto Top
danke aqui, so weit war ich auch schon, aber wie soll ich den Satz sonst interpretieren?
aqui
aqui 23.11.2017 um 18:23:55 Uhr
Goto Top
Der Satz ist Unsinn...vergiss ihn ! Es gibt ja nur EIN einziges APIPA Netz. Der Kommentator meinte sicher er hat "Dutzende dieser APIPA Hostadressen". Das würde Sinn machen. Alles andere ist natürlich Quatsch.
IP-PUPPI
IP-PUPPI 27.11.2017 um 19:13:03 Uhr
Goto Top
... nur noch schnell zu Ende geführt ...! Auf dem Host(Windows x) befand sich wohl eine Schadsoftware (Er sagt ein ... Trojaner). Hab den Anschluss daher erstmal vom Netz genommen. Warte jetzt auf einem Router am Port. Sonst bleibt er aus. Danach hat er SEIN Problem in SEINEM LAN ... was für mich "Okay" ist.
Danke nochmals an alle die etwas Zeit und vor allem Gehirnfett gespendet haben ...

Danke !!
gelöstFrageSicherheitViren, Trojaner
Mehr von IP-PUPPIIP-PUPPIWeiterleitung TCP-PaketeIP-PUPPI - 13 KommentareIP-PUPPIVPN (Site to Site) zwischen Mikrotik und SophosIP-PUPPI - 31 KommentareIP-PUPPIWireshark oder Paket Sniffer - FRAGEIP-PUPPI - 8 KommentareIP-PUPPIProbleme mit SM-Kabel als LinkIP-PUPPI - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare