solardriftwood
Goto Top

Sicherheit: Erkennung und Abwehr

Hallo alle zusammen!

Frage zu arp-spoofing

Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin ausgeführt habe, ist mir eine fremde MAC-Adresse aufgefallen.
Ich habe daraufhin versucht den Eintrag mit "arp -d ip mac zu löschen, was auch für kurze Zeit Wirkung zeigte. Jedoch fing das Szenario bald wieder an und ich konnte der Sache nicht wirklich Herr werden. Diese ich nenne sie mal Attacken traten auch auf weiteren Geräten auf. Daraufhin habe ich "xarp"
installiert und gestartet, woraufhin unzählige Meldungen auftraten: Eine unbekannte MAC-Adresse taucht im arp-cache auf und übernimmt meine Identität. Da ich bisher nichts wirkungsvolles finden konnte, frage ich nun hier, ob jemand weiß, was ich dagegen tun kann.
Die zweite Frage ist: Wie erhalte ich Vollzugriff auf die cmd da mir bei dem Versuch das Gateway statisch einzutragen die Meldung: Fehler beim Hinzufügen des ARP-Eintrags: Zugriff verweigert angezeigt wird.

MfG

Content-ID: 280129

Url: https://administrator.de/forum/sicherheit-erkennung-und-abwehr-280129.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

108012
108012 13.08.2015 aktualisiert um 23:35:37 Uhr
Goto Top
Hallo,

kannst Du bitte einmal vorher etwas mehr zu dem Netzwerk und all seinen
Komponenten sagen? Das ist schon ein wenig dürftig an Infos was Du hier
angibst. (PCs, Switche, Router, Firewall, Drucker, usw...)

Beim eingeben von "arp -a" in der Windows-Eingabeaufforderung, die ich als Admin
ausgeführt habe, ist mir eine fremde MAC-Adresse aufgefallen.
und würdest Du uns die auch bitte einmal posten damit wir nachschauen können von
wem die ist, oder hast Du das eben mal schnell erledigt?

Du kannst auch einmal den ColaSoft Mac Scanner installieren und dann
nachschauen ob die MAC Adresse noch vorhanden ist und was für ein
Hersteller hinter Ihr auftaucht.

Gruß
Dobby
kaiand1
kaiand1 13.08.2015 um 23:35:10 Uhr
Goto Top
Moin
Mehr Infos sind Hilfreicher.
Firmen Lan oder Privat Lan ?
Was für Switche hast du ?
Wlan vorhanden ?
Wie soll die Mac deine Identität übernehmen bzw woan willst du es bemerkt haben?
solardriftwood
solardriftwood 13.08.2015 um 23:46:13 Uhr
Goto Top
Danke für die schnelle Antwort! Ich habe nur ein Speedport W724V von der Telekom, keinen besseren Router, keinen seperaten Switch, Drucker ist permanent offline, wird nur bei Bedarf angesteckt, Firewall einmal unter Windows 8.1 pro und einmal im Speedport. Mein Gerät ist ein Thinkpad und das meiner Frau ist auch Lenovo aber G580. Die Geräte sind meistens per WLAN am Netz.

! Angreifer_1 :: 192.168.2.2 # 00:21:80:64:1A:B5 ! 00-21-80 (hex) ARRIS Group, Inc.
3871 Lakefield Drive
Suwanee GA 30024
UNITED STATES

! Angreifer_2 :: 192.168.2.2 # C4:54:44:3C:86:93 ! C4-54-44 (hex) QUANTA COMPUTER INC.
No.211, Wen Hwa 2nd Rd
Kuei Shan Hsiang
Tao Yuan Shien Taoyuan
33377
TAIWAN, PROVINCE OF
CHINA

! Angreifer_3 :: 192.168.2.9 # B8:88:E3:7E:DF:45 ! B8-88-E3 (hex) COMPAL INFORMATION
(KUNSHAN) CO., LTD
No.25, Third Avenue,
A Zone, Kunshan
Comprehensive Free Trade
Zone, Jiangsu,
KUNSHAN SUZHOU 215300
CHINA
Gerätehersteller lassen sich über MAC-Adressen zuordnen unter: http://standards-oui.ieee.org/oui.txt

Mir wäre wichtig wie ich in der cmd Vollzugriff bekomme um statische Einträge zu setzen.

Vielen Dank!
solardriftwood
solardriftwood 13.08.2015 um 23:55:21 Uhr
Goto Top
Ich habe mir in der cmd mit dem Befehl "arp -a" die arp-tabelle anzeigen lassen, und dabei ist mir eine fremde mac-adresse aufgefallen. Daraufhin habe ich xarp installiert und ausgeführt. Hier mal ein Logfile von grad eben:

13.08.2015 - 23:49:15 - info - os: Windows NT 6.2 (build 9200), user: solardriftwood (solardriftwood), free memory: 4294967295 byte, registered to: <unregistered> -
13.08.2015 - 23:49:15 - info - xarp version XArp 2.2.2 -
13.08.2015 - 23:49:15 - info - winpcap version info: WinPcap version 4.1.3 (packet.dll version 4.1.0.2980), based on libpcap version 1.0 branch 1_0_rel0b (20091008) -
13.08.2015 - 23:49:17 - arp - RequestedResponseFilter: no matching request packet was sent out for this reply - 0x4 - 00-21-80-64-1a-b5 - 80-56-f2-fd-d8-6b - reply - 00-21-80-64-1a-b5 - 80-56-f2-fd-d8-6b - 192.168.2.100 - 192.168.2.101 - in
13.08.2015 - 23:49:18 - arp - RequestedResponseFilter: no matching request packet was sent out for this reply - 0x4 - 00-21-80-64-1a-b5 - 80-56-f2-fd-d8-6b - reply - 00-21-80-64-1a-b5 - 80-56-f2-fd-d8-6b - 192.168.2.100 - 192.168.2.101 - in
13.08.2015 - 23:49:31 - arp - DirectedRequestFilter: targeted request. destination mac of arp request not set to broadcast/invalid address - 0x4 - 74-e5-43-d8-43-a2 - 80-56-f2-fd-d8-6b - request - 74-e5-43-d8-43-a2 - 80-56-f2-fd-d8-6b - 192.168.2.102 - 192.168.2.101 - in

Dieses Programm überwacht und erstellt Meldungen in Form von Alarm, das ganze unzählige Male.
Korrigiert mich bitte, wenn das der falsche Ansatz ist.

Mfg
solardriftwood
solardriftwood 14.08.2015 um 00:03:53 Uhr
Goto Top
Ich habe soeben ColaSoft benutzt und habe dieses Ergebnis bekommen:

IP Address MAC Address Host Name Workgroup Manufacturer
192.168.2.1 # 18:83:BF:7F:20:D7
192.168.2.100 # 00:21:80:64:1A:B5
192.168.2.101 # 80:56:F2:FD:D8:6B TRASHMAILROBOT WORKGROUP
192.168.2.102 # 74:E5:43:D8:43:A2 BLACKRUPPI-PC 00-ETH0
192.168.2.113 # D0:E1:40:72:7F:D4
192.168.2.255 # 80:56:F2:FD:D8:6B ...an dieser Stelle sollte meines Wissens keine MAC auftauchen
solardriftwood
solardriftwood 14.08.2015 um 00:11:37 Uhr
Goto Top
Das ist ein privates (W)LAN mit zwei Laptops und drei Handys, ausgehend von einem Speedport W724V ohne Switche.
108012
108012 14.08.2015 aktualisiert um 00:36:25 Uhr
Goto Top
Hallo nochmal,

wart Ihr in letzter Zeit in den USA und man hat Euch beim Zoll "mal eben"
um Eure Notebooks und Laptops gebeten?

18:83:BF:7F:20:D7
Arcadyan Technology Corporation
4F, No. 9, Park Avenue II ,
Science based Industrial Park,
Hsinchu 300
TAIWAN, PROVINCE OF CHINA

Arcadyan Technology Corporation ist der Hersteller der Speedport Hardware
und lässt auch unter anderen Namen fertigen aber verkauft dann unter seinem
Namen.

Das sollte der Hersteller von Eurem Speedport Router sein
Und ist somit erledigt.

00:21:80:64:1A:B5
ARRIS Group, Inc.
3871 Lakefield Drive
Suwanee GA 30024
UNITED STATES

ARRIS Group ist ein recht munteres Unternehmen das überall seine
Finger als Zulieferer mit im Spiel hat, zum Beispiel,
- Modems (Voice, Data)
- TV & Video Signal processing

Der wird schwieriger sein, habt Ihr in Euren Laptops, Notebooks, Kindle & Amazon Fire
Geräten ebenso wie Apple TV oder auch BlueRay, DVD bzw. Home Entertainment;
- Modems?
- Videotelefonie Geräte?

Oder gar Apple iPads und/oder Apple iPhones?
Also das sind bestimmt die Modems in Handys oder Smartphones oder Tabletcomputern

80:56:F2:FD:D8:6B
Hon Hai Precision Ind. Co.,Ltd.
NO.1925,Nanle Road
Songjiang Export Processing Zone
Shanghai 201613
CHINA

Hong Hai ist eine 100% Tochter von Foxxcon und die sind wiederum Zulieferer von
Apple Computers USA.

Habt Ihr AppleTV, iPad, iPhone, oder gar andere Apple Geräte bei Euch zu Hause?
Kann auch der LAN Port am MacBook oder iMac sein den die verbaut haben.

74:E5:43:D8:43:A2
Liteon Technology Corporation
4F,90,Chien 1 Road,ChungHo
New Taipei City Taipei 23585
TAIWAN, PROVINCE OF CHINA

Stellen Brenner und ROM Laufwerke her für fast jeden und alles!

Habt Ihr in Euren Notebooks, Laptops, PCs, Videorecordern, Netzwerk Playern?
Meist ist es ein Abspiel oder Recorder Geräte.

D0:E1:40:72:7F:D4
Apple, Inc
1 infinite Loop
Cupertino CA 95014
UNITED STATES

Hersteller von Computern, Smartphones und Tabletcomputern.

Also irgend etwas muss von Apple bei Euch vor Ort sein!
Habt Ihr bei Euch Apple Geräte?

80:56:F2:FD:D8:6B
Hon Hai Precision Ind. Co.,Ltd.
NO.1925,Nanle Road
Songjiang Export Processing Zone
Shanghai 201613
CHINA

Hong Hai ist eine 100% Tochter von Foxxcon und die sind wiederum Zulieferer von
Apple Computers USA.

Den hatten wir schon weiter oben!


Gruß
Dobby
Lochkartenstanzer
Lochkartenstanzer 14.08.2015 um 08:00:10 Uhr
Goto Top
Mon,

Als erstes soltlest Du mal die Überschrift ändern, damit die Leute wissen, was Du überhaupt für ein problem hast. Geht mit der Bearbeiten-Funktion ganz einfach..

Du hast ein Speedport, der das netz 192.168.2.0/24 aufspannt und üblicherweise DHCP ab 192.168.2.100 vergibt.
Das spiegelt sich auch in dem Ergebnis Deines Scans

192.168.2.1 # 18:83:BF:7F:20:D7
192.168.2.100 # 00:21:80:64:1A:B5
192.168.2.101 # 80:56:F2:FD:D8:6B TRASHMAILROBOT WORKGROUP
192.168.2.102 # 74:E5:43:D8:43:A2 BLACKRUPPI-PC 00-ETH0
192.168.2.113 # D0:E1:40:72:7F:D4
192.168.2.255 # 80:56:F2:FD:D8:6B ...an dieser Stelle sollte meines Wissens keine MAC auftauchen

wieder. Die 192.168.2.255 ist ein Broadcast, da ist es normal, daß irgendeine Kiste antwortet und daher da eine beliebige MAC stehen kann.


! Angreifer_1 :: 192.168.2.2 # 00:21:80:64:1A:B5 ! 00-21-80 (hex) ARRIS Group, Inc.
! Angreifer_2 :: 192.168.2.2 # C4:54:44:3C:86:93 ! C4-54-44 (hex) QUANTA COMPUTER INC.
! Angreifer_3 :: 192.168.2.9 # B8:88:E3:7E:DF:45 ! B8-88-E3 (hex) COMPAL INFORMATION

Ob das nun wirklich ein Angrefifer ist oder ein kapuutes Netz von Dir, wird noch festzustellen sein. Was sagt denn ein Ping zu diesen Adressen?

Hast Du mal in dem speedport geschautm, welche Nodes der kennt?Der führt normalereise eine Liste der Clients, die mit ihm kommunizieren.

Du soltest einfach mal Wireshark mitsniffen lassen, um zu schauen, ob zu den IP-Adressen 192.168.2.2 oder 192.168.2.9 überhaupt trafic entsteht.

Und nciht zuletzt soltest Du Deine Kist auch mal auf Malware hin scannen.

lks
cyber40014
cyber40014 14.08.2015 um 11:33:47 Uhr
Goto Top
Hi solardriftwood

Bevor wir uns verrückt machen:

Hast du auf deinem PC irgendwelche simulierten Netzwerkkarten?

Einfach mal unter Adapter schauen.
Ein mit eine mit einer virtuellen Maschine gemeinsam genutzte Netzwerkkarte hat mir schon des öfteren seltsame Erscheinungen in div. Netzwerkprotokollen beschert.

Als nächstes solltest du prüfen ob das Spoofing wirklich genutzt wird. Immer hin mache ich das ja nicht um den User zu verwirren. Ich möchte Daten.
Dazu könntest du mal einen Traceroute machen.
Ansonsten Wireshark.
Hier wird ganz gut erklärt, was du tun musst:
http://searchsecurity.techtarget.com/video/How-to-use-Wireshark-to-dete ...

Nun, auch wenn du das Spoofing irgendwie aktiv verhindern könntest, ist damit ja nur das Symptom behandelt.
Du willst sicherlich die Ursache bekämpfen.

Spoofing spielt sich auf OSI L2 ab.
Damit kannst du die Abwehr ohne anständigen Switch vergessen.
Meines Wissens nach gibt es zwar Software zur Überwachung, aber zur Abwehr?
Lasse mich diesbezüglich gerne eines Besseren belehren, wenn jemand eine Software kennt, die überwacht bei einem Vorfall aktiv eingreift, bitte her damit!

Außerdem erfolgt ein solcher Angriff immer aus dem Intranet. Aber soweit bist du ja schon.

Allerdings von wo und wie?
Dafür gibt es zwei Möglichkeiten:

a) Ein dediziertes Gerät eines Angreifers
b) Schadsoftware auf einem vorhandenen Gerät.

bzgl. a)
Mich irritiert die die IP Adresse.... Ich denke nicht, dass es sich um dedizierte Hardware handelt.
Aber zur Sicherheit:
Hast du Wlan? -> ändere SSID, Passwort und nutze mindestens WPA2 als Verschlüsselung.
Nutzt du Dlan? -> Mach es aus und teste ob die Mac wieder auftaucht.

Nein? Dann würde ich dir zwingend raten a) deine Passwörter zu ändern und einen anständigen (verschlüsselnden) DLAN Adapter kaufen.

Die doppelte MAC taucht wieder auf?
Dann ist es b) Schadsoftware und da ja nur dein PC läuft, solltest du ihn bereinigen und schlimmstenfalls neu installieren.
Schadsoftware und ARP Poisoning? Wohl war, wir leben doch in tollen Zeiten... So viele technische Möglichkeiten.
http://blog.trendmicro.com/trendlabs-security-intelligence/trojan-uses- ...

Hoffe damit kommst du ans Ziel.

Mein Ratschlag:
Gehe immer nach dem Ursache Wirkungsprinzip vor.
Halte dich an die Tatsachen und fange nicht an zu tief in eine Richtung zu "troubleshooten" ohne gesicherte Erkenntnis.

Da ich dir zutraue, dass du selbst auf die Idee gekommen bist mal die unsicheren Verbindungswege zu kappen,
tippe ich auf Schadsoftware.

Eine Sache die mir noch im Kopf rumschwirrt: Hat jemand grade einen Win10 Rechner zur Hand und kann Arp -a machen?
Nicht dass es irgendeine Eigenart eines noch recht neuen OS ist face-wink
Wie z.B. das P2P zur Updateverteilung *seufz*


lg

Chris