henere
Goto Top

Unbekannte MAC-Adresse im Netz

Servus zusammen,

ich habe mehrfach fehlgeschlagene Loginversuche in meinem Gast-Wlan.
Die Mac-Adresse: 3E:49:52:CE:A7:BD taucht immer wieder mit fehlgeschlagenen Logins auf.
Nur finde ich keinen Hersteller dazu ?
Jemand eine Idee ?

Grüße, Henere

Content-ID: 650194

Url: https://administrator.de/contentid/650194

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 10.02.2021 aktualisiert um 15:09:17 Uhr
Goto Top
Zitat von @Henere:

Servus zusammen,

ich habe mehrfach fehlgeschlagene Loginversuche in meinem Gast-Wlan.
Die Mac-Adresse: 3E:49:52:CE:A7:BD taucht immer wieder mit fehlgeschlagenen Logins auf.
Nur finde ich keinen Hersteller dazu ?
Jemand eine Idee ?

Das wird irgendeine ausgewürfelte Adresse sein. Das ist heutzutage üblich, daß z.B. Mobiltelefone dauernd Ihre MAC-Adresse ändern, um nicht getrackt zu werden.

Und wenn es ein pöhser Pursche sein sollte, wird der den Teufel tun und mit seiner echten MAC-Adresse anklopfen.

Deswegen hießen viele Römer ja auch z.B. S_c_h_w_a_n_z_us Longus oder Nixus Minimax, wenn sie den Hebräerinnen die Ehe versprachen, um sie ins Bett zu bekommen. (siehe auch die historische Dokumentation "Das Leben des Brian" von Monthy Python).

lks
Henere
Henere 10.02.2021 um 15:39:40 Uhr
Goto Top
Würde dir gerne zustimmen aber sollte sich die MAC dann nicht ändern ?
Ich wohne hier mit 26 anderen Häusern. Fremde Wardriver würden sofort auffallen.
Es sind auch Uhrzeiten zu denen die Bürgersteige und auch die Hauptstrasse schon weggeklappt sind.
Also vermute ich ein Gerät aus dem eigenen Haus aber ich hatte auch schon alle WLAN-fähigen Geräte über Nacht einkassiert und deaktiviert.
Daher suche ich weiter.
Nachbar kanns nicht sein. Zu weit weg.
tikayevent
tikayevent 10.02.2021 aktualisiert um 16:35:10 Uhr
Goto Top
Es gab schon immer locally administered Adressen. Vergleichbar mit den privaten IP-Adressen. Ist jeder Hersteller selbst für verantwortlich und es besteht die Gefahr einer Kollision.

Teilweise nutzen Hersteller diese MAC-Adressen aus Kostengründen oder aus Unwissenheit. Je billiger so ein Gerät ist, um so eher findet man diese Adressen.

Aber potentiell kann es auch ne gefälschte Adresse sein.
Lochkartenstanzer
Lochkartenstanzer 10.02.2021 aktualisiert um 16:45:25 Uhr
Goto Top
Zitat von @Henere:

Würde dir gerne zustimmen aber sollte sich die MAC dann nicht ändern ?

Kmmt drauf an, welche Strategie das System vrfolgt. Manchmal wollen sie aqm selben AP wiedererkannt werden. Dann melden sie sich am selben AP immer mit der gleichen MAC, aber würfeln für andere andere MACs aus.

Ich wohne hier mit 26 anderen Häusern. Fremde Wardriver würden sofort auffallen.
Es sind auch Uhrzeiten zu denen die Bürgersteige und auch die Hauptstrasse schon weggeklappt sind.

Dann wird es irgendein Gerät in der Nähe sein. oder jemand mit Richtfunkantenne/Parabolabtenne.

Also vermute ich ein Gerät aus dem eigenen Haus aber ich hatte auch schon alle WLAN-fähigen Geräte über Nacht einkassiert und deaktiviert.

vermutlich hast Du eines übersehen.

Daher suche ich weiter.
Nachbar kanns nicht sein. Zu weit weg.

Sicher? Mit einer Parabolantenne kann man auch aus "größerer" Entfernung sich einklinken oder mithören.

lks
Henere
Henere 10.02.2021 um 16:58:32 Uhr
Goto Top
Die Nachbarn sind froh dass sie überhaupt ins Netz kommen. Parabol und andere Späße kann ich wohl ausschliessen.
Und nein. Ich habe kein Gerät übersehen. Noch bin ich der IT-Leiter in der Familie 😁

Ich beobachte mal weiter
aqui
aqui 10.02.2021 um 17:22:53 Uhr
Goto Top
Dynamisch vergebene würde man am U/L Bit erkennen:
https://de.wikipedia.org/wiki/MAC-Adresse#Vergabestelle
147448
147448 10.02.2021 um 17:34:55 Uhr
Goto Top
Jetzt mal UND ?

Mac Adressen kann man mit den meisten System frei bestimmen, und somit seine eigene verstecken. Kein Thema und nichts neues. Das wurde auch hier schon so erwähnt.

Was in der Kombination hilft:

WLAN Passwort auf maximale Länge setzen ! WLAN nicht verstecken, also nicht im Hide SSID Modus betreiben. Das erleichtert nur das ausspionieren der zugelassenen und angemeldeten MAC Adressen im eigenen Netzwerk. Und dann einen Radius Server verwenden ! Für Fritzbox Benutzer MAC Authentification ! Im Anmeldemodus soweit verfügbar "IP for MAC" wählen. Auf statische über den Router reservierte IP Adressen verzichten.

Und dann ruhig bleiben, nicht in Hektik verfallen, und nur noch gelegentlich die Protokolle nachsehen.
erikro
erikro 10.02.2021 um 18:21:42 Uhr
Goto Top
Moin,

Zitat von @Henere:

Die Nachbarn sind froh dass sie überhaupt ins Netz kommen. Parabol und andere Späße kann ich wohl ausschliessen.
Und nein. Ich habe kein Gerät übersehen. Noch bin ich der IT-Leiter in der Familie 😁

Wer weiß schon, was Deine Gören so an Schatten-IT betreiben? face-wink

Liebe Grüße

Erik
Henere
Henere 10.02.2021 um 18:28:29 Uhr
Goto Top
Mädels mit 9 und 13 die keinerlei Interesse an Technik haben, außer sie zu benutzen ?
Eigenmächtig bestellen tun sie noch nicht, und hier im Dorf gibts nix wo man funkende Elektronik (überhaupt Elektrik) kaufen könnte. Dank Lockdown auch keine Hardwaredeals an der Schule möglich.

Klar kann man MAC fälschen, aber doch nicht auf sowas krummes wie oben ? Wenn dann AF:FE:AF:FE:AF:FE oder anderer Blödsinn.

Ich muss das mal weiter beobachten, ist auch kein Besuch auf den ich das zurückführen könnte.
Hier kann man Nachts auf der Hauptstraße schlafen und wird nicht überfahren.... Freie WLAN-Frequenzwahl, da kein Nachbar überhaupt in Funkreichweite ist.
147448
147448 10.02.2021 um 18:28:38 Uhr
Goto Top
@aqui

Du weißt schon als MT Kenner, dass du ab 00:00:00:00:01:00 jede mögliche MAC dem Anderen vorgaukeln kannst ?
147448
147448 10.02.2021 um 18:42:30 Uhr
Goto Top
@Henere

Ob dein Auge so gut ist wage ich zu bezweifeln.

SO sieht zB ein WLAN Antenne aus, die genau in ein PCV Regenwasserabflussrohr passt !

Das lässt sich Wasserfest in jedem Dachrinnen Fallrohr verstecken.
Selber schon gebaut und in Benutzung. Selbst metallische Garagentore, oder Dachgeschossausbauten sind kein Problem. Quer durch 2 Eckhäuser und einen Dachkonstruktion eines Garagenhofes auf ca 420 Meter kommen, aber auch so gewollt, immerhin noch -68 db oder 54/48 Mbit im B/G Modus an.
Dieses Antennengrundmodel gibt es auch als BI-Polare Cross polarisierte Ausführung die sogar im N-Modus arbeitet !
SeaStorm
SeaStorm 10.02.2021 um 19:26:15 Uhr
Goto Top
Mach ein neues offenes WLAN mit der gleichen SSID auf und whiteliste die MAC (und sperre alles andere aus) und schau dann wohin das teil telefonieren will. Gibt ggf Aufschluss
147448
147448 10.02.2021 um 19:45:52 Uhr
Goto Top
Von dem Experiment würde ich erst einmal abraten, wenn der WLAN Router nur eine einfache Fritzbox oder ähnliches ist !

Selbst die neuste Version des Fritz!OS ist damit innerhalb weniger Minuten geknackt und man hat Vollzugriff auf die ADMIN-Konsole dieser !
147448
147448 11.02.2021 um 23:40:59 Uhr
Goto Top
Nachdem ich eine Nachfrage erhalten habe, löse ich mal auf !

Du kannst Virtuelle WLAN wie auch Gast-WLANs erzeugen wie du willst.
Damit ist das Teil diese Fritzbox, wenn keine Verschlüsselung gefordert ist sofort angreifbar !
Man bekommt neben der IP sogar über den MAC Pfad eine Adresse !
Und nun ist es nur eine Frage der Zeit, wenn nicht einmal der Datenstrom Verschlüsselt ist, dass man den MAC Host erreicht !
Das geht sowas von simpel , weil man mit MAC-Telnet schon in das Interface einbrechen kann.

Dazu muss man nicht viel WISSEN ! Nur die Adresse und 2 weitere Sachen !
Und schwupps ist man sogar ohne Passwort auf der ADMIN Konsole dessen, was die Fritz!BOX einem als WEB Interface vorgaugelt !
Trommel
Trommel 12.02.2021 aktualisiert um 08:48:07 Uhr
Goto Top
Zitat von @147448:

Nachdem ich eine Nachfrage erhalten habe, löse ich mal auf !

Du kannst Virtuelle WLAN wie auch Gast-WLANs erzeugen wie du willst.
Damit ist das Teil diese Fritzbox, wenn keine Verschlüsselung gefordert ist sofort angreifbar !
Man bekommt neben der IP sogar über den MAC Pfad eine Adresse !
Und nun ist es nur eine Frage der Zeit, wenn nicht einmal der Datenstrom Verschlüsselt ist, dass man den MAC Host erreicht !
Das geht sowas von simpel , weil man mit MAC-Telnet schon in das Interface einbrechen kann.

Dazu muss man nicht viel WISSEN ! Nur die Adresse und 2 weitere Sachen !
Und schwupps ist man sogar ohne Passwort auf der ADMIN Konsole dessen, was die Fritz!BOX einem als WEB Interface vorgaugelt !

Wenn das so einfach wäre, müssten dann nicht schon etliche Boxen "übernommen" worden sein?

Sorry, aber so ganz glauben kann ich das persönlich einfach nicht. Zumindest wenn ich Deinem Posting richtig entnehme, dass jede Box einfach übernommen werden könnte. Klar brauchen wir über den Funktionsumfang der FB versus größerer Business-Router nicht zu diskutieren, aber trotzdem ist die Verbreitung, auch entgegen dem Wunschdenken vieler, in Firmen, und bei Privaten sowieso, immens und mir ist noch kein einziger Fall bekannt, weder aus der Praxis noch aus den Nachrichtenquellen, wo da was so übernommen oder "gehackt" wurde. Wenn es so einfach wäre, wie man hier und oft ließt, müsste das doch viel mehr passieren - oder der Hersteller darauf reagieren..?

Viele Grüße
Trommel
SeaStorm
SeaStorm 12.02.2021 um 11:42:08 Uhr
Goto Top
Sehr ich auch so. Ohne nähere Infos über diesen ominösen MAC Adressen Hack ist das für mich nur Unsinn. Lasse mich per PN aber gerne mit Details belehren.

Lustig wäre es ja.
Aber entgegen aller Unkenrufe wissen die von Fritz durchaus was sie tun . Deren Kisten fallen nicht unbedingt durch ranzigen Code auf
Lochkartenstanzer
Lochkartenstanzer 12.02.2021 aktualisiert um 11:49:50 Uhr
Goto Top
Zitat von @147448:

Nachdem ich eine Nachfrage erhalten habe, löse ich mal auf !

Du kannst Virtuelle WLAN wie auch Gast-WLANs erzeugen wie du willst.
Damit ist das Teil diese Fritzbox, wenn keine Verschlüsselung gefordert ist sofort angreifbar !
Man bekommt neben der IP sogar über den MAC Pfad eine Adresse !
Und nun ist es nur eine Frage der Zeit, wenn nicht einmal der Datenstrom Verschlüsselt ist, dass man den MAC Host erreicht !
Das geht sowas von simpel , weil man mit MAC-Telnet schon in das Interface einbrechen kann.

Dazu muss man nicht viel WISSEN ! Nur die Adresse und 2 weitere Sachen !
Und schwupps ist man sogar ohne Passwort auf der ADMIN Konsole dessen, was die Fritz!BOX einem als WEB Interface vorgaugelt !


Und im Winter ist es kalt - manchmal, wenn die Klimaerwärmung Urlaub macht im Süden.

Mach mal Butter bei die Fische.

lks
147448
147448 12.02.2021 um 23:35:31 Uhr
Goto Top
Nimm dir eine Fritzbox ! Richte dort eine Gäste-WLAN ein !
Bei älteren Versionen ist es noch so, dass die sogar im selben Adressbereich des internen LAN/WLAN liegen !
Nun richtest du das Gäste-WLAN noch so, dass ein Verschlüsselung nicht notwendig ist !

Nun weiß inzwischen jeder, dass die FB selbst in der höchsten Ausstattung, die für Home User angeboten wird nur einen WLAN Chip haben ! Also läuft dort nur nicht viel ! Sondern nur eine Chip der sogar via Software einen zweiten, oder dritten WLAN Kreis bereitstellt ! Das ist nicht schlimm ! Du kannst aber die echte Hardware MAC nicht Faken !

Jetzt nehme ich ein Routing System was auf den Kanälen die von der Fritzbox kommen, ja das darf ich ! Weil wer etwas verbreitet so über eine Hardware Schnittstelle , das darf ich aufzeichnen, wenn ich in der Lage bin dieses aufzufassen und mitzuschreiben !

Mit einer Richtantenne die sehr klar nur einen Erfassungskegel hat bekommt man den ganzen Datenstrom mit !
Und jetzt ist es nur eine Frage der Leistung ! Wenn man Bi-Polar mit einer Karte oder einem Router mit entsprechender Software und damit dem Handwerkszeug den ganzen Datenstrom aufzeichnen kann, dann findet man die Lücke !
Über ein Dripple Interface bekomme ich nun weil ich MAC auch die IP kenne Zugriff !
Da bis heute die Fritzbox Mac-Telnet Anfragen nicht filtert oder verwirft, komme ich genau auf das woran ich will !
SeaStorm
SeaStorm 13.02.2021 um 11:20:43 Uhr
Goto Top
Wtf kommt das aus dem Drehbuch eines schlechten Hacker Films?
Und dann noch per Google translate übersetzt?

So ein blödsinn
LordGurke
LordGurke 14.02.2021 um 13:33:35 Uhr
Goto Top
Fragen wir doch mal die einfachste Frage zuerst:
Hat dein WLAN eine SSID, die man nirgendwo sonst finden kann oder ist das eher der Default-Name deines Geräts?
Wenn der Name nicht eindeutig ist, wird da vermutlich jemand ein Gerät haben, was mal mit einem anderen WLAN mit gleichem Namen verbunden war und sich - weshalb auch immer - gelegentlich mit deinem Netz verbinden will.
aqui
aqui 14.02.2021 um 17:11:32 Uhr
Goto Top
Das Stichwort dazu ist "Probe Requests". Siehe auch hier:
Netzwerk Management Server mit Raspberry Pi
Henere
Henere 14.02.2021 um 17:20:45 Uhr
Goto Top
Nun mein Gastnetz heisst: "Nicht verbunden" ... kA ob das so verbreitet ist ?

Das hat mich mal 4h gekostet.... das Eigentor. 😇
Trommel
Trommel 17.02.2021 um 15:48:54 Uhr
Goto Top
Zitat von @Henere:

Nun mein Gastnetz heisst: "Nicht verbunden" ... kA ob das so verbreitet ist ?

Das hat mich mal 4h gekostet.... das Eigentor. 😇

...was war denn nun des Rätsels Lösung?

Viele Grüße
Trommel
aqui
aqui 17.02.2021 um 15:55:05 Uhr
Goto Top
Wäre in der Tat mal interessant zu erfahren vor dem dann noch ausstehenden:
Wie kann ich einen Beitrag als gelöst markieren?
Henere
Henere 17.02.2021 um 16:45:40 Uhr
Goto Top
Das Eigentor mit der SSID meinte ich.

Ist seit ich hier gepostet habe nur noch 2x im Log gewesen. Ich mach FAQ32.

Danke fürs mitdenken.