Sicherheit: Erkennung und Abwehr
Hallo alle zusammen!
Frage zu arp-spoofing
Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin ausgeführt habe, ist mir eine fremde MAC-Adresse aufgefallen.
Ich habe daraufhin versucht den Eintrag mit "arp -d ip mac zu löschen, was auch für kurze Zeit Wirkung zeigte. Jedoch fing das Szenario bald wieder an und ich konnte der Sache nicht wirklich Herr werden. Diese ich nenne sie mal Attacken traten auch auf weiteren Geräten auf. Daraufhin habe ich "xarp"
installiert und gestartet, woraufhin unzählige Meldungen auftraten: Eine unbekannte MAC-Adresse taucht im arp-cache auf und übernimmt meine Identität. Da ich bisher nichts wirkungsvolles finden konnte, frage ich nun hier, ob jemand weiß, was ich dagegen tun kann.
Die zweite Frage ist: Wie erhalte ich Vollzugriff auf die cmd da mir bei dem Versuch das Gateway statisch einzutragen die Meldung: Fehler beim Hinzufügen des ARP-Eintrags: Zugriff verweigert angezeigt wird.
MfG
Frage zu arp-spoofing
Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin ausgeführt habe, ist mir eine fremde MAC-Adresse aufgefallen.
Ich habe daraufhin versucht den Eintrag mit "arp -d ip mac zu löschen, was auch für kurze Zeit Wirkung zeigte. Jedoch fing das Szenario bald wieder an und ich konnte der Sache nicht wirklich Herr werden. Diese ich nenne sie mal Attacken traten auch auf weiteren Geräten auf. Daraufhin habe ich "xarp"
installiert und gestartet, woraufhin unzählige Meldungen auftraten: Eine unbekannte MAC-Adresse taucht im arp-cache auf und übernimmt meine Identität. Da ich bisher nichts wirkungsvolles finden konnte, frage ich nun hier, ob jemand weiß, was ich dagegen tun kann.
Die zweite Frage ist: Wie erhalte ich Vollzugriff auf die cmd da mir bei dem Versuch das Gateway statisch einzutragen die Meldung: Fehler beim Hinzufügen des ARP-Eintrags: Zugriff verweigert angezeigt wird.
MfG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280129
Url: https://administrator.de/forum/sicherheit-erkennung-und-abwehr-280129.html
Ausgedruckt am: 25.12.2024 um 15:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
kannst Du bitte einmal vorher etwas mehr zu dem Netzwerk und all seinen
Komponenten sagen? Das ist schon ein wenig dürftig an Infos was Du hier
angibst. (PCs, Switche, Router, Firewall, Drucker, usw...)
wem die ist, oder hast Du das eben mal schnell erledigt?
Du kannst auch einmal den ColaSoft Mac Scanner installieren und dann
nachschauen ob die MAC Adresse noch vorhanden ist und was für ein
Hersteller hinter Ihr auftaucht.
Gruß
Dobby
kannst Du bitte einmal vorher etwas mehr zu dem Netzwerk und all seinen
Komponenten sagen? Das ist schon ein wenig dürftig an Infos was Du hier
angibst. (PCs, Switche, Router, Firewall, Drucker, usw...)
Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin
ausgeführt habe, ist mir eine fremde MAC-Adresse aufgefallen.
und würdest Du uns die auch bitte einmal posten damit wir nachschauen können vonausgeführt habe, ist mir eine fremde MAC-Adresse aufgefallen.
wem die ist, oder hast Du das eben mal schnell erledigt?
Du kannst auch einmal den ColaSoft Mac Scanner installieren und dann
nachschauen ob die MAC Adresse noch vorhanden ist und was für ein
Hersteller hinter Ihr auftaucht.
Gruß
Dobby
Hallo nochmal,
wart Ihr in letzter Zeit in den USA und man hat Euch beim Zoll "mal eben"
um Eure Notebooks und Laptops gebeten?
4F, No. 9, Park Avenue II ,
Science based Industrial Park,
Hsinchu 300
TAIWAN, PROVINCE OF CHINA
Arcadyan Technology Corporation ist der Hersteller der Speedport Hardware
und lässt auch unter anderen Namen fertigen aber verkauft dann unter seinem
Namen.
Das sollte der Hersteller von Eurem Speedport Router sein
Und ist somit erledigt.
3871 Lakefield Drive
Suwanee GA 30024
UNITED STATES
ARRIS Group ist ein recht munteres Unternehmen das überall seine
Finger als Zulieferer mit im Spiel hat, zum Beispiel,
- Modems (Voice, Data)
- TV & Video Signal processing
Der wird schwieriger sein, habt Ihr in Euren Laptops, Notebooks, Kindle & Amazon Fire
Geräten ebenso wie Apple TV oder auch BlueRay, DVD bzw. Home Entertainment;
- Modems?
- Videotelefonie Geräte?
Oder gar Apple iPads und/oder Apple iPhones?
Also das sind bestimmt die Modems in Handys oder Smartphones oder Tabletcomputern
NO.1925,Nanle Road
Songjiang Export Processing Zone
Shanghai 201613
CHINA
Hong Hai ist eine 100% Tochter von Foxxcon und die sind wiederum Zulieferer von
Apple Computers USA.
Habt Ihr AppleTV, iPad, iPhone, oder gar andere Apple Geräte bei Euch zu Hause?
Kann auch der LAN Port am MacBook oder iMac sein den die verbaut haben.
4F,90,Chien 1 Road,ChungHo
New Taipei City Taipei 23585
TAIWAN, PROVINCE OF CHINA
Stellen Brenner und ROM Laufwerke her für fast jeden und alles!
Habt Ihr in Euren Notebooks, Laptops, PCs, Videorecordern, Netzwerk Playern?
Meist ist es ein Abspiel oder Recorder Geräte.
1 infinite Loop
Cupertino CA 95014
UNITED STATES
Hersteller von Computern, Smartphones und Tabletcomputern.
Also irgend etwas muss von Apple bei Euch vor Ort sein!
Habt Ihr bei Euch Apple Geräte?
NO.1925,Nanle Road
Songjiang Export Processing Zone
Shanghai 201613
CHINA
Hong Hai ist eine 100% Tochter von Foxxcon und die sind wiederum Zulieferer von
Apple Computers USA.
Den hatten wir schon weiter oben!
Gruß
Dobby
wart Ihr in letzter Zeit in den USA und man hat Euch beim Zoll "mal eben"
um Eure Notebooks und Laptops gebeten?
18:83:BF:7F:20:D7
Arcadyan Technology Corporation4F, No. 9, Park Avenue II ,
Science based Industrial Park,
Hsinchu 300
TAIWAN, PROVINCE OF CHINA
Arcadyan Technology Corporation ist der Hersteller der Speedport Hardware
und lässt auch unter anderen Namen fertigen aber verkauft dann unter seinem
Namen.
Das sollte der Hersteller von Eurem Speedport Router sein
Und ist somit erledigt.
00:21:80:64:1A:B5
ARRIS Group, Inc.3871 Lakefield Drive
Suwanee GA 30024
UNITED STATES
ARRIS Group ist ein recht munteres Unternehmen das überall seine
Finger als Zulieferer mit im Spiel hat, zum Beispiel,
- Modems (Voice, Data)
- TV & Video Signal processing
Der wird schwieriger sein, habt Ihr in Euren Laptops, Notebooks, Kindle & Amazon Fire
Geräten ebenso wie Apple TV oder auch BlueRay, DVD bzw. Home Entertainment;
- Modems?
- Videotelefonie Geräte?
Oder gar Apple iPads und/oder Apple iPhones?
Also das sind bestimmt die Modems in Handys oder Smartphones oder Tabletcomputern
80:56:F2:FD:D8:6B
Hon Hai Precision Ind. Co.,Ltd.NO.1925,Nanle Road
Songjiang Export Processing Zone
Shanghai 201613
CHINA
Hong Hai ist eine 100% Tochter von Foxxcon und die sind wiederum Zulieferer von
Apple Computers USA.
Habt Ihr AppleTV, iPad, iPhone, oder gar andere Apple Geräte bei Euch zu Hause?
Kann auch der LAN Port am MacBook oder iMac sein den die verbaut haben.
74:E5:43:D8:43:A2
Liteon Technology Corporation4F,90,Chien 1 Road,ChungHo
New Taipei City Taipei 23585
TAIWAN, PROVINCE OF CHINA
Stellen Brenner und ROM Laufwerke her für fast jeden und alles!
Habt Ihr in Euren Notebooks, Laptops, PCs, Videorecordern, Netzwerk Playern?
Meist ist es ein Abspiel oder Recorder Geräte.
D0:E1:40:72:7F:D4
Apple, Inc1 infinite Loop
Cupertino CA 95014
UNITED STATES
Hersteller von Computern, Smartphones und Tabletcomputern.
Also irgend etwas muss von Apple bei Euch vor Ort sein!
Habt Ihr bei Euch Apple Geräte?
80:56:F2:FD:D8:6B
Hon Hai Precision Ind. Co.,Ltd.NO.1925,Nanle Road
Songjiang Export Processing Zone
Shanghai 201613
CHINA
Hong Hai ist eine 100% Tochter von Foxxcon und die sind wiederum Zulieferer von
Apple Computers USA.
Den hatten wir schon weiter oben!
Gruß
Dobby
Mon,
Als erstes soltlest Du mal die Überschrift ändern, damit die Leute wissen, was Du überhaupt für ein problem hast. Geht mit der Bearbeiten-Funktion ganz einfach..
Du hast ein Speedport, der das netz 192.168.2.0/24 aufspannt und üblicherweise DHCP ab 192.168.2.100 vergibt.
Das spiegelt sich auch in dem Ergebnis Deines Scans
wieder. Die 192.168.2.255 ist ein Broadcast, da ist es normal, daß irgendeine Kiste antwortet und daher da eine beliebige MAC stehen kann.
Ob das nun wirklich ein Angrefifer ist oder ein kapuutes Netz von Dir, wird noch festzustellen sein. Was sagt denn ein Ping zu diesen Adressen?
Hast Du mal in dem speedport geschautm, welche Nodes der kennt?Der führt normalereise eine Liste der Clients, die mit ihm kommunizieren.
Du soltest einfach mal Wireshark mitsniffen lassen, um zu schauen, ob zu den IP-Adressen 192.168.2.2 oder 192.168.2.9 überhaupt trafic entsteht.
Und nciht zuletzt soltest Du Deine Kist auch mal auf Malware hin scannen.
lks
Als erstes soltlest Du mal die Überschrift ändern, damit die Leute wissen, was Du überhaupt für ein problem hast. Geht mit der Bearbeiten-Funktion ganz einfach..
Du hast ein Speedport, der das netz 192.168.2.0/24 aufspannt und üblicherweise DHCP ab 192.168.2.100 vergibt.
Das spiegelt sich auch in dem Ergebnis Deines Scans
192.168.2.1 # 18:83:BF:7F:20:D7
192.168.2.100 # 00:21:80:64:1A:B5
192.168.2.101 # 80:56:F2:FD:D8:6B TRASHMAILROBOT WORKGROUP
192.168.2.102 # 74:E5:43:D8:43:A2 BLACKRUPPI-PC 00-ETH0
192.168.2.113 # D0:E1:40:72:7F:D4
192.168.2.255 # 80:56:F2:FD:D8:6B ...an dieser Stelle sollte meines Wissens keine MAC auftauchen
192.168.2.100 # 00:21:80:64:1A:B5
192.168.2.101 # 80:56:F2:FD:D8:6B TRASHMAILROBOT WORKGROUP
192.168.2.102 # 74:E5:43:D8:43:A2 BLACKRUPPI-PC 00-ETH0
192.168.2.113 # D0:E1:40:72:7F:D4
192.168.2.255 # 80:56:F2:FD:D8:6B ...an dieser Stelle sollte meines Wissens keine MAC auftauchen
wieder. Die 192.168.2.255 ist ein Broadcast, da ist es normal, daß irgendeine Kiste antwortet und daher da eine beliebige MAC stehen kann.
! Angreifer_1 :: 192.168.2.2 # 00:21:80:64:1A:B5 ! 00-21-80 (hex) ARRIS Group, Inc.
! Angreifer_2 :: 192.168.2.2 # C4:54:44:3C:86:93 ! C4-54-44 (hex) QUANTA COMPUTER INC.
! Angreifer_3 :: 192.168.2.9 # B8:88:E3:7E:DF:45 ! B8-88-E3 (hex) COMPAL INFORMATION
! Angreifer_2 :: 192.168.2.2 # C4:54:44:3C:86:93 ! C4-54-44 (hex) QUANTA COMPUTER INC.
! Angreifer_3 :: 192.168.2.9 # B8:88:E3:7E:DF:45 ! B8-88-E3 (hex) COMPAL INFORMATION
Ob das nun wirklich ein Angrefifer ist oder ein kapuutes Netz von Dir, wird noch festzustellen sein. Was sagt denn ein Ping zu diesen Adressen?
Hast Du mal in dem speedport geschautm, welche Nodes der kennt?Der führt normalereise eine Liste der Clients, die mit ihm kommunizieren.
Du soltest einfach mal Wireshark mitsniffen lassen, um zu schauen, ob zu den IP-Adressen 192.168.2.2 oder 192.168.2.9 überhaupt trafic entsteht.
Und nciht zuletzt soltest Du Deine Kist auch mal auf Malware hin scannen.
lks
Hi solardriftwood
Bevor wir uns verrückt machen:
Hast du auf deinem PC irgendwelche simulierten Netzwerkkarten?
Einfach mal unter Adapter schauen.
Ein mit eine mit einer virtuellen Maschine gemeinsam genutzte Netzwerkkarte hat mir schon des öfteren seltsame Erscheinungen in div. Netzwerkprotokollen beschert.
Als nächstes solltest du prüfen ob das Spoofing wirklich genutzt wird. Immer hin mache ich das ja nicht um den User zu verwirren. Ich möchte Daten.
Dazu könntest du mal einen Traceroute machen.
Ansonsten Wireshark.
Hier wird ganz gut erklärt, was du tun musst:
http://searchsecurity.techtarget.com/video/How-to-use-Wireshark-to-dete ...
Nun, auch wenn du das Spoofing irgendwie aktiv verhindern könntest, ist damit ja nur das Symptom behandelt.
Du willst sicherlich die Ursache bekämpfen.
Spoofing spielt sich auf OSI L2 ab.
Damit kannst du die Abwehr ohne anständigen Switch vergessen.
Meines Wissens nach gibt es zwar Software zur Überwachung, aber zur Abwehr?
Lasse mich diesbezüglich gerne eines Besseren belehren, wenn jemand eine Software kennt, die überwacht bei einem Vorfall aktiv eingreift, bitte her damit!
Außerdem erfolgt ein solcher Angriff immer aus dem Intranet. Aber soweit bist du ja schon.
Allerdings von wo und wie?
Dafür gibt es zwei Möglichkeiten:
a) Ein dediziertes Gerät eines Angreifers
b) Schadsoftware auf einem vorhandenen Gerät.
bzgl. a)
Mich irritiert die die IP Adresse.... Ich denke nicht, dass es sich um dedizierte Hardware handelt.
Aber zur Sicherheit:
Hast du Wlan? -> ändere SSID, Passwort und nutze mindestens WPA2 als Verschlüsselung.
Nutzt du Dlan? -> Mach es aus und teste ob die Mac wieder auftaucht.
Nein? Dann würde ich dir zwingend raten a) deine Passwörter zu ändern und einen anständigen (verschlüsselnden) DLAN Adapter kaufen.
Die doppelte MAC taucht wieder auf?
Dann ist es b) Schadsoftware und da ja nur dein PC läuft, solltest du ihn bereinigen und schlimmstenfalls neu installieren.
Schadsoftware und ARP Poisoning? Wohl war, wir leben doch in tollen Zeiten... So viele technische Möglichkeiten.
http://blog.trendmicro.com/trendlabs-security-intelligence/trojan-uses- ...
Hoffe damit kommst du ans Ziel.
Mein Ratschlag:
Gehe immer nach dem Ursache Wirkungsprinzip vor.
Halte dich an die Tatsachen und fange nicht an zu tief in eine Richtung zu "troubleshooten" ohne gesicherte Erkenntnis.
Da ich dir zutraue, dass du selbst auf die Idee gekommen bist mal die unsicheren Verbindungswege zu kappen,
tippe ich auf Schadsoftware.
Eine Sache die mir noch im Kopf rumschwirrt: Hat jemand grade einen Win10 Rechner zur Hand und kann Arp -a machen?
Nicht dass es irgendeine Eigenart eines noch recht neuen OS ist
Wie z.B. das P2P zur Updateverteilung *seufz*
lg
Chris
Bevor wir uns verrückt machen:
Hast du auf deinem PC irgendwelche simulierten Netzwerkkarten?
Einfach mal unter Adapter schauen.
Ein mit eine mit einer virtuellen Maschine gemeinsam genutzte Netzwerkkarte hat mir schon des öfteren seltsame Erscheinungen in div. Netzwerkprotokollen beschert.
Als nächstes solltest du prüfen ob das Spoofing wirklich genutzt wird. Immer hin mache ich das ja nicht um den User zu verwirren. Ich möchte Daten.
Dazu könntest du mal einen Traceroute machen.
Ansonsten Wireshark.
Hier wird ganz gut erklärt, was du tun musst:
http://searchsecurity.techtarget.com/video/How-to-use-Wireshark-to-dete ...
Nun, auch wenn du das Spoofing irgendwie aktiv verhindern könntest, ist damit ja nur das Symptom behandelt.
Du willst sicherlich die Ursache bekämpfen.
Spoofing spielt sich auf OSI L2 ab.
Damit kannst du die Abwehr ohne anständigen Switch vergessen.
Meines Wissens nach gibt es zwar Software zur Überwachung, aber zur Abwehr?
Lasse mich diesbezüglich gerne eines Besseren belehren, wenn jemand eine Software kennt, die überwacht bei einem Vorfall aktiv eingreift, bitte her damit!
Außerdem erfolgt ein solcher Angriff immer aus dem Intranet. Aber soweit bist du ja schon.
Allerdings von wo und wie?
Dafür gibt es zwei Möglichkeiten:
a) Ein dediziertes Gerät eines Angreifers
b) Schadsoftware auf einem vorhandenen Gerät.
bzgl. a)
Mich irritiert die die IP Adresse.... Ich denke nicht, dass es sich um dedizierte Hardware handelt.
Aber zur Sicherheit:
Hast du Wlan? -> ändere SSID, Passwort und nutze mindestens WPA2 als Verschlüsselung.
Nutzt du Dlan? -> Mach es aus und teste ob die Mac wieder auftaucht.
Nein? Dann würde ich dir zwingend raten a) deine Passwörter zu ändern und einen anständigen (verschlüsselnden) DLAN Adapter kaufen.
Die doppelte MAC taucht wieder auf?
Dann ist es b) Schadsoftware und da ja nur dein PC läuft, solltest du ihn bereinigen und schlimmstenfalls neu installieren.
Schadsoftware und ARP Poisoning? Wohl war, wir leben doch in tollen Zeiten... So viele technische Möglichkeiten.
http://blog.trendmicro.com/trendlabs-security-intelligence/trojan-uses- ...
Hoffe damit kommst du ans Ziel.
Mein Ratschlag:
Gehe immer nach dem Ursache Wirkungsprinzip vor.
Halte dich an die Tatsachen und fange nicht an zu tief in eine Richtung zu "troubleshooten" ohne gesicherte Erkenntnis.
Da ich dir zutraue, dass du selbst auf die Idee gekommen bist mal die unsicheren Verbindungswege zu kappen,
tippe ich auf Schadsoftware.
Eine Sache die mir noch im Kopf rumschwirrt: Hat jemand grade einen Win10 Rechner zur Hand und kann Arp -a machen?
Nicht dass es irgendeine Eigenart eines noch recht neuen OS ist
Wie z.B. das P2P zur Updateverteilung *seufz*
lg
Chris