Hi Lug!
Folgende Settings: (WG-Lan)
QSC DLS Anschluss NAT Router (DHCP aus) 4 Rechner mit fester IP an Router
Hin und wieder wird die Internetverbindung träge und der Router ist nicht mehr ansprechbar (Pingantwortzeit > 1000ms). Zu der Zeit loggt der Router folgendes mit:
2005/02/12 23:05:23 : **IP Spoofing** from 192.168.1.200 2005/02/12 23:04:24 : **IP Spoofing** from 192.168.1.200 2005/02/12 23:04:23 : **IP Spoofing** from 192.168.1.200 2005/02/12 21:37:50 : **IP Spoofing** from 192.168.1.200 2005/02/12 21:37:49 : **IP Spoofing** from 192.168.1.200
Diese IP (192.168.1.200) gibts selbstverständlich eigentlich in unserem Netz nicht. Der Router wehrt, wie ich verstehe, den Angriff ab. Nur wird er sehr langsam dabei.
Was kann man gegen sowas machen?
Danke und Sorry für die OT Frage. Tom.
On Saturday 12 February 2005 23:28, Tom Guder wrote:
2005/02/12 21:37:49 : **IP Spoofing** from 192.168.1.200
Diese IP (192.168.1.200) gibts selbstverständlich eigentlich in unserem Netz nicht. Der Router wehrt, wie ich verstehe, den Angriff ab. Nur wird er sehr langsam dabei.
Was kann man gegen sowas machen?
Wickel Alufolie um die WLAN-Antennen des Routers... ;-)
Konrad
Tom Guder schrieb:
Hi Lug!
Folgende Settings: (WG-Lan)
QSC DLS Anschluss NAT Router (DHCP aus) 4 Rechner mit fester IP an Router
Hin und wieder wird die Internetverbindung träge und der Router ist nicht mehr ansprechbar (Pingantwortzeit > 1000ms). Zu der Zeit loggt der Router folgendes mit:
2005/02/12 23:05:23 : **IP Spoofing** from 192.168.1.200 2005/02/12 23:04:24 : **IP Spoofing** from 192.168.1.200 2005/02/12 23:04:23 : **IP Spoofing** from 192.168.1.200 2005/02/12 21:37:50 : **IP Spoofing** from 192.168.1.200 2005/02/12 21:37:49 : **IP Spoofing** from 192.168.1.200
Diese IP (192.168.1.200) gibts selbstverständlich eigentlich in unserem Netz nicht. Der Router wehrt, wie ich verstehe, den Angriff ab. Nur wird er sehr langsam dabei.
Was kann man gegen sowas machen?
Schonmal probiert, den Zugriff auf den Router MAC-Adressen-basiert einuschränken?
MfG Norman Ziert
On Sun, 13 Feb 2005 12:19:22 +0100 Tom Guder tom-guder@web.de wrote:
Schonmal probiert, den Zugriff auf den Router MAC-Adressen-basiert einuschränken?
Nein. ber entschuldige bitte meine dumme Frage: Kann man MAC's nicht auch klonen?
Das hilft aber nur, wenn man weiß, welche MACs freigegeben sind.
Gruß, Folke
Schonmal probiert, den Zugriff auf den Router MAC-Adressen-basiert einuschränken?
Nein. ber entschuldige bitte meine dumme Frage: Kann man MAC's nicht auch klonen?
Das hilft aber nur, wenn man weiß, welche MACs freigegeben sind.
Ok. Ich hab' jetzt alle MAC', die hier im LAN sind eingetragen.
Danke vorerst, Tom.
On Sunday 13 February 2005 12:32, Folke Karlsson wrote:
On Sun, 13 Feb 2005 12:19:22 +0100
Tom Guder tom-guder@web.de wrote:
Schonmal probiert, den Zugriff auf den Router MAC-Adressen-basiert einuschränken?
Nein. ber entschuldige bitte meine dumme Frage: Kann man MAC's nicht auch klonen?
Das hilft aber nur, wenn man weiß, welche MACs freigegeben sind.
Das ist aber kein Problem, die rauszubekommen mit einem Netzwerksniffer (tcpdump).
Gruss, Jan.
Tom Guder schrieb:
Das ist aber kein Problem, die rauszubekommen mit einem Netzwerksniffer (tcpdump).
Hoffentlich macht derjenige sich nicht die Mühe...
Ein Kabelrouter? D.h. aber das der jenige einen physischen Zugang zu diesem Netz hat? Oder habt ihr zusätzlich zu dem Router noch einen Accesspoint irgendwo hängen?
Warte ich stöpsel mal mein WLAN-Kabel bei euch ein.^^
Nein, mal im Ernst. Vielleicht ist der Übeltäter in eurer WG.
MfG Norman Ziert
Ein Kabelrouter? D.h. aber das der jenige einen physischen Zugang zu diesem Netz hat? Oder habt ihr zusätzlich zu dem Router noch einen Accesspoint irgendwo hängen?
Warte ich stöpsel mal mein WLAN-Kabel bei euch ein.^^
Nein, mal im Ernst. Vielleicht ist der Übeltäter in eurer WG.
Nein ;). 101%ig nicht! Auch wenn alle Rechner im WG-Netz aus sind (es sind nur 3 Stück) kommen die IP Spoofs. Ich weiß eben zu wenig, aber ich glaube IP Spoofing macht es möglich sich von außen irgendwie in interne Netze reinzuschmuggeln.
Wir haben _kein_ W-LAN.
Tom Guder schrieb:
Ein Kabelrouter? D.h. aber das der jenige einen physischen Zugang zu diesem Netz hat? Oder habt ihr zusätzlich zu dem Router noch einen Accesspoint irgendwo hängen?
Warte ich stöpsel mal mein WLAN-Kabel bei euch ein.^^
Nein, mal im Ernst. Vielleicht ist der Übeltäter in eurer WG.
Nein ;). 101%ig nicht! Auch wenn alle Rechner im WG-Netz aus sind (es sind nur 3 Stück) kommen die IP Spoofs. Ich weiß eben zu wenig, aber ich glaube IP Spoofing macht es möglich sich von außen irgendwie in interne Netze reinzuschmuggeln.
Wir haben _kein_ W-LAN.
Mal rein logisch: irgendwas muss den Router zur Warnmeldung bewegen.
a) der Router selbst macht böse Dinge b) Fehlalarm (nix passiert, der Router wirft die Meldung 'einfach so') c) jemand sonstiges hängt an der Kiste
Alle drei sind nicht besonders schön.
Kommen IP-Spoof-Meldungen, wenn du alle Netzwerkkabel vom Router abziehst (richtig abziehen, um c) totsicher auszuschließen)?
Ist die Kiste ne Appliance oder ein 'richtiger' Rechner?
mfg, Fabian
a) der Router selbst macht böse Dinge b) Fehlalarm (nix passiert, der Router wirft die Meldung 'einfach so') c) jemand sonstiges hängt an der Kiste
Alle drei sind nicht besonders schön.
Kommen IP-Spoof-Meldungen, wenn du alle Netzwerkkabel vom Router abziehst (richtig abziehen, um c) totsicher auszuschließen)?
Ist die Kiste ne Appliance oder ein 'richtiger' Rechner?
Es ist kein Rechner; nur so ein Ding, was man an die Wand hängt. Wir haben alle Rechner wirklich, wirklich ausgemacht :) Aber scheinbar hat es geholfen, die im Netz vorhandenen MAC's einzutragen. Bisher keine neue Meldung vom Router. Komisch ist es trotzdem. Der Router hat eine eingebaute Firewall gegen böse Angriffe aus dem Internet (die man leider nicht konfigurieren kann).
Hi,
AFAIK kann man unter Windoze mehere IPs pro Iface vergeben. Vll ist das der Uebeltaeter?
-Dimitri
am Tue, dem 15.02.2005, um 19:10:55 +0100 mailte Dimitri Puzin folgendes:
Hi,
AFAIK kann man unter Windoze mehere IPs pro Iface vergeben. Vll ist das der Uebeltaeter?
kaufbach:/home/kretschmer# ifconfig eth0:1 1.1.1.1 netmask 255.255.255.0 kaufbach:/home/kretschmer# ifconfig eth0:2 2.2.2.2 netmask 255.255.255.0 kaufbach:/home/kretschmer# ifconfig eth0:3 3.3.3.3 netmask 255.255.255.0
kaufbach:/home/kretschmer# ifconfig ... eth0:1 Protokoll:Ethernet Hardware Adresse 00:50:BF:10:F6:BD inet Adresse:1.1.1.1 Bcast:1.255.255.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:9 Basisadresse:0xaf00
eth0:2 Protokoll:Ethernet Hardware Adresse 00:50:BF:10:F6:BD inet Adresse:2.2.2.2 Bcast:2.255.255.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:9 Basisadresse:0xaf00
eth0:3 Protokoll:Ethernet Hardware Adresse 00:50:BF:10:F6:BD inet Adresse:3.3.3.3 Bcast:3.255.255.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:9 Basisadresse:0xaf00 ...
Und nu?
Andreas
AFAIK kann man unter Windoze mehere IPs pro Iface vergeben. Vll ist das der Uebeltaeter?
Ich glaube es ist ein Angriff von aussen. (So wie es Tante Goo. mir erklärt hat). Ich hab' einfach mal nach IP Spoofing gesucht... verstanden habe ich aber nur die Hälfte. Wie gesagt, Der Router loggte auch, ohne daß Rechner eingeschaltet, IP Spoofs mit.
Grüße, Tom.
On Tuesday 15 February 2005 20:44, Tom Guder wrote:
AFAIK kann man unter Windoze mehere IPs pro Iface vergeben. Vll ist das der Uebeltaeter?
Ich glaube es ist ein Angriff von aussen. (So wie es Tante Goo. mir erklärt hat). Ich hab' einfach mal nach IP Spoofing gesucht... verstanden habe ich aber nur die Hälfte. Wie gesagt, Der Router loggte auch, ohne daß Rechner eingeschaltet, IP Spoofs mit.
Loggt der Router nicht mit auf welchem Interface das passiert?
Konrad
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Dimitri Puzin -
Fabian Hänsel -
Felix Becker -
Folke Karlsson -
Jan Wagner -
Konrad Rosenbaum -
Norman Ziert -
Tom Guder