12
Unbekannte IP im Netzwerk anderes Subnetz
Hallo allerseits,
ich habe wiedermal ein Problem das ich mangels Ausstattung derzeit nicht in Griff bekomme
aber es könnte auch ein Phantom sein somit benötige ich einfach mal Euere Einschätzung
In meinem Netzwerk taucht in unregelmäßigen Zeitabständen eine IP auf die nicht zum Netz passt.
Ich betreue ein simpel ausgestattet Netzwerk, das soweit zufriedenstellend läuft.
Aufbau
Draytek Router1 - HP Switch2 1000mbit - Longshine Switch3 100mbit ca. 35 PC´s
Router1 - Vlan Segment - Fritzbox(als Router) Wlan
Netz: 192.168.0.0
Subnet: 255.255.255.0
Am Switch1 hängen ein Dateiserver Linux , Sicherungsserver, und ein NAS Backupserver Linux, Workstation mit einem CRM System.
Mein Problem ist, daß ich seit 3 Tagen in unregelmäßigen Abständen von mehren Stunden ein Meldung bekomme
IP Address: 192.168.0.xxx
Date/Time: 04/26/2012 15:21:38
Level: Warning
[Security] Access Violation from 192.168.167.2 with TCP (port=139)
Möglichkeit 1
Ich denke hier macht sich einer zu schaffen, aber ich kann diese Ip bzw. Mac in keinem Cache finden.
Ich finde Sie nicht im Netz und kann Sie nicht anpingen.
Im Router (Draytek 2200) taucht Sie weder im Cache noch sonst irgendwo auf.
Möglichkeit 2
Netzwerkkarte, Router defekt eventuell auch Treibersoftware!
Jetzt habe ich einen Untangle Server dazwischen geklemmt (Transparent Proxy), der hat etwas Performance Probleme mit den Emails und leider findet der integrierte Virusblocker (Trail) nicht mal Eicar!!!
Aber man sieht wenigstens was so läuft im Netz !!!
Von Außen scheint es also nicht zu kommen somit sofern keine Malware einen PC als Relay benutzt!
Jetzt habe ich mir noch einen Managed Switch besorgt um den Port zu spiegeln um wenigstens mal eine Mac zu bekommen!!!
Wie schätzt Ihr das Phänomen ein ?
gebt mir mal ein paar Ideen, wie schätzt Ihr die Sache ein ?
Ich bin für jede Hilfe Dankbar
ich habe wiedermal ein Problem das ich mangels Ausstattung derzeit nicht in Griff bekomme
aber es könnte auch ein Phantom sein somit benötige ich einfach mal Euere Einschätzung
In meinem Netzwerk taucht in unregelmäßigen Zeitabständen eine IP auf die nicht zum Netz passt.
Ich betreue ein simpel ausgestattet Netzwerk, das soweit zufriedenstellend läuft.
Aufbau
Draytek Router1 - HP Switch2 1000mbit - Longshine Switch3 100mbit ca. 35 PC´s
Router1 - Vlan Segment - Fritzbox(als Router) Wlan
Netz: 192.168.0.0
Subnet: 255.255.255.0
Am Switch1 hängen ein Dateiserver Linux , Sicherungsserver, und ein NAS Backupserver Linux, Workstation mit einem CRM System.
Mein Problem ist, daß ich seit 3 Tagen in unregelmäßigen Abständen von mehren Stunden ein Meldung bekomme
IP Address: 192.168.0.xxx
Date/Time: 04/26/2012 15:21:38
Level: Warning
[Security] Access Violation from 192.168.167.2 with TCP (port=139)
Möglichkeit 1
Ich denke hier macht sich einer zu schaffen, aber ich kann diese Ip bzw. Mac in keinem Cache finden.
Ich finde Sie nicht im Netz und kann Sie nicht anpingen.
Im Router (Draytek 2200) taucht Sie weder im Cache noch sonst irgendwo auf.
Möglichkeit 2
Netzwerkkarte, Router defekt eventuell auch Treibersoftware!
Jetzt habe ich einen Untangle Server dazwischen geklemmt (Transparent Proxy), der hat etwas Performance Probleme mit den Emails und leider findet der integrierte Virusblocker (Trail) nicht mal Eicar!!!
Aber man sieht wenigstens was so läuft im Netz !!!
Von Außen scheint es also nicht zu kommen somit sofern keine Malware einen PC als Relay benutzt!
Jetzt habe ich mir noch einen Managed Switch besorgt um den Port zu spiegeln um wenigstens mal eine Mac zu bekommen!!!
Wie schätzt Ihr das Phänomen ein ?
gebt mir mal ein paar Ideen, wie schätzt Ihr die Sache ein ?
Ich bin für jede Hilfe Dankbar
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184191
Url: https://administrator.de/contentid/184191
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo Re-Animator
Von wo bekommst du diese Meldung?
Von wo bekommst du diese Meldung?
Die Meldung bekomme ich von der Backup Nas, diese hat einen Zugriffsbereich von 255.255.255.0 somit liegt die Unbekannte Ip außerhalb Ihres Netzes.
Das verursacht dann die Meldung!
Gruß Re-anni
Das verursacht dann die Meldung!
Gruß Re-anni
Danke für den Hinweis das hatte ich auch schon gesehen aber es ist im Netz kein VM installiert!
Kein VPN und beide firewalls sind zu.
Ich kann das Ganze auf 4 Rechner eingrenzen an dem vermuteten Rechner habe ich den Switch ausgetauscht und sniffe mit.
Nun warte ich auf das richtige Päckchen !!!
Kein VPN und beide firewalls sind zu.
Ich kann das Ganze auf 4 Rechner eingrenzen an dem vermuteten Rechner habe ich den Switch ausgetauscht und sniffe mit.
Nun warte ich auf das richtige Päckchen !!!
Okay... Schade...
Sorry hatte vorhin nicht viel Zeit zu schreiben.
Sorry hatte vorhin nicht viel Zeit zu schreiben.
Hi,
sind in deinem Netz auch Notebooks aktiv? Wenn ja, vielleicht hat jemand für seinen Homebereich seine IP geändert und vergessen, die zurückzustellen .
Gruß
sind in deinem Netz auch Notebooks aktiv? Wenn ja, vielleicht hat jemand für seinen Homebereich seine IP geändert und vergessen, die zurückzustellen .
Gruß
nein es sind keine Privaten Notebooks aktiv
Zu dem Zeitpunkt als die ersten Meldungen kamen waren wie gesagt nur 4 Rechner an das macht es schon einfacher
aber ohne mac und Tabelle keine zuordnung.
Zur Zeit bekomme ich auch keine Meldung ich habe einen Switch ausgetauscht um den verkehr mitzuschneiden zu können eventuell hat das Gerät einen hau!
Zu dem Zeitpunkt als die ersten Meldungen kamen waren wie gesagt nur 4 Rechner an das macht es schon einfacher
aber ohne mac und Tabelle keine zuordnung.
Zur Zeit bekomme ich auch keine Meldung ich habe einen Switch ausgetauscht um den verkehr mitzuschneiden zu können eventuell hat das Gerät einen hau!
Na gut, war ja auch nur ein Gedanke. 
jeder Gedanke ist willkommen
eventuell veralbert mich ja nur einen defekte Hardwarekomponente.
eventuell veralbert mich ja nur einen defekte Hardwarekomponente.
Gelöscht, war nicht gut. Ich war auf Windows fixiert und du arbeitest unter Linux, da habe ich keine Ahnung.
Gruß
Gruß
Hallo,
ich würde mal davon ausgehen, dass das irgendetwas "legitimes" ist (ne Software, die du mal vergessen hast, und die ein zusätzliches virtuelles Interface öffnet, oder irgendein vergessenes Gerät), das halt in's Netz will.
Wenn du dir auf einem Rechner eine IP aus dem Netz zuweist, müsstest du es doch auch pingen können. Und wenn du dann die angeschlossenen Systeme ab- und einzeln wieder anklemmst müsstest du auch das System finden können.
Gruß
Filipp
Edit: Natürlich kann es auch sein, dass dir die NAS einfach quatsch erzählt
ich würde mal davon ausgehen, dass das irgendetwas "legitimes" ist (ne Software, die du mal vergessen hast, und die ein zusätzliches virtuelles Interface öffnet, oder irgendein vergessenes Gerät), das halt in's Netz will.
Wenn du dir auf einem Rechner eine IP aus dem Netz zuweist, müsstest du es doch auch pingen können. Und wenn du dann die angeschlossenen Systeme ab- und einzeln wieder anklemmst müsstest du auch das System finden können.
Gruß
Filipp
Edit: Natürlich kann es auch sein, dass dir die NAS einfach quatsch erzählt
Um diesen Thread zu beenden, na da hatte sich eine Maleware eingeschlichen und das mit allen Folgen.
inclusive arp spoofing am Switch!!!
Ich hoffe alles beseitigt zu haben aber wer weiß das schon !!!!
Danke an alle für die Tipps
Gruß Re-Ani
inclusive arp spoofing am Switch!!!
Ich hoffe alles beseitigt zu haben aber wer weiß das schon !!!!
Danke an alle für die Tipps
Gruß Re-Ani
