LAND Attacke und IP-Spoofing, wann wird es kritisch?

[Olivetti]

Sorry, dann muss ich mich entschuldigen. Das habe ich tatsächlich übersehen.

PN finde ich nicht so gut. Je mehr Einblick haben, desto besser. Bearbeite das Log lieber.

Das NAS hatten wir auch schon ausgeschlossen, oder?
Einträge gab es auch, wenn das NAS nicht läuft.

Ich würde feste IPs einstellen und DHCP auch ausmachen (alles nur zeitweise für den Test).

Kommst du leihweise an eine Fritzbox?

Und die letzte Frage für heute: uPnP ist am Router aus?

Das nächste Projekt ist dann: WAN-Traffic mitschneiden.

 

[rechnerteam]

Mal was Neues, da mache ich diesen Thread auf und dann das:

Heute hat die IP gewechselt, ohne dass eine spoofing-Meldung erschien. Dafür fehlen ca. 15 Stunden und das Logfile ist voll mit diesen Meldungen.

Tue Feb 12 22:08:00 2013    Zugriff auf das Drahtlossystem mit MAC-Adresse 00089BC39727 verweigert

Verstehe ich gar nicht, da das WLAN deaktiviert ist und die Antennen im Kartonliegen. Falscher Film?
Reicht Dir das Logfile von heute oder soll ich eines mit möglichst vielen Merkwürdigkeiten raussuchen?

Vor dem D-Link DIR 655 hatte ich einen DIR 615, den hatte ich testweise vor einiger Zeit wieder laufen, das hat an den Meldungen nichts geändert.Ich wollte nur sicher gehen, dass es nicht am Router liegt.

 

[rechnerteam]

Das Posting von 22:09h habe ich jetzt nicht bekommen. Ich muss ne Pause machen.

Danke für die Entschuldigung.

Ich suche ein ergiebiges Logfile raus, bearbeite es und stelle es dann ein. NAS war ausgeschlossen, aber ich werde es noch mal für ein paar tage stilllegen.

Ich würde feste IPs einstellen und DHCP auch ausmachen (alles nur zeitweise für den Test).

Okay, mache ich.

Kommst du leihweise an eine Fritzbox?

Leider nein, Du meinst die Capture-Funktion, oder? Ich versuche, an eine ran zu kommen.

Und die letzte Frage für heute: uPnP ist am Router aus?

Ja und am NAS auch.

Vielen Dank und einen schönen Abend noch.

Falls ich mich morgen nicht melde: Bin krank.

 

[Hotze]

Kannst Du mal bei der FB einen Paketmitschnitt machen?
http://IPderFB/html/capture.html

also, wenn Du eine bekommst. KabelDeutschland hat doch welche.

 

[rechnerteam]

Wie gerade eben geschrieben, habe ich keine Fritzbox. Ich versuche aber, eine zu leihen.

Edit: Als ich diesen Thread aufgemacht habe, fing es an, richtig nervig zu werden.

 

[Hotze]

Check mal den Hersteller anhand der MAC-Adresse die versucht hat sich einzuloggen. Vielleicht kannst Du es so etwas eingrenzen was Dein Netzwerk betrifft. http://www.heise.de/netze/tools/mac/

 

[Olivetti]

Gute Besserung.

So langsam (nach etlichem googlen) glaube ich ja, die Dlinks haben diesbezüglich eine Macke.
Das geht ja durch sämtliche Modelle.

Fritzbox leihen ist auf jeden Fall gut, dann geht's leicht mit dem Capture->Wireshark.

 

[Olivetti]

Sehr witzig, 00:08:9B -> ICP Electronics Inc. -> QNAP. Schau mal ob das wirklich deine QNAP ist.

Und nun: Dlink -> komplett reset und neu einrichten || Mülltonne.

Tages-Logfile brauchst erst reinstellen, nach dem du den router richtig resettet hast.

 

[rechnerteam]

Das habe ich vorhin schon gemacht auf meiner "Lieblingsseite" für Ports und MACAdressen:

ICP Electronics Inc.
ICP Electronics Inc.
4F, No. 22, Chung-Hsing Rd. Shi-Chi City
Taipei Hsien, 221,
Taipei 221
TAIWAN, PROVINCE OF CHINA



Das sagt mir gar nichts.

 

[rechnerteam]

Peinlich, ich ziehe jetzt bis morgen den Stecker.

Ich setze den Router auf Werkseinstellungen zurück, nachdem er über Nacht Stromlos war.

Ich habe wirklich nicht vor, hier zu spammen oder jemandem die Zeit zu stehlen.
Der andere war auch ein D-Link, da ist vielleicht Mülltonne angeraten.

Oh ist das peinlich.

 

[Olivetti]

siehe #28 (sorry, ich editiere dauernd)

Nö, peinlich braucht dir das nicht zu sein. Dlink müsste es peinlich sein.
Und keiner wird hier gezwungen.

Bisher ist das anscheinend kein so großes Problem.

Falls möglich, würde ich auch einen anderen Router testen (natürlich keinen Dlink, haha).
Und evtl. an der NAS auch nichts verändern, die kann ja auch noch beteiligt sein.

Bitte probier das trotzdem aus, mit dem reset, und berichte.
Das wäre durchaus was für die c't, nachdem sich Dlink eh' schon so deppert angestellt hat.

Und du brauchst den aushäusigen Verdächtigen nicht mehr verdächtigen.

 

[Dilirias Cortez]

Ohne dir bei deinem Problem helfen zu können. Hau den D-Link weg und kauf dir etwas anderes. Sei es eine Fritzbox oder sonst irgendetwas. Ich kann TP-Link mit der DD-WRT Firmware seeehr empfehlen. Ich hatte in der Vergangenheit einige D-Links. 3 oder 4 müssten es gewesen sein. 2 davon wurden gegrillt. Einer davon hat sogar geraucht. Ein weiterer hat ständig das WLAN verloren und der letzte hatte den akuten Drang sich ständig zu resetten

Danach hatte ich einen ASUS mit DD-WRT, dann einen TP-Link mit gleicher Firmware. Keine Probleme mit den beiden Babies. Aktuell ein Telekom Speedport. Kurz um. Hau das D-Link-Ding in die Tonne.

 

[rechnerteam]

Erst einmal möchte ich mich aufrichtig bei Euch bedanken .
Die MACAdresse gehört zu der NAS und ich habe zu spät gemerkt, dass ich nur noch Matsch im Kopf hatte. (Dieses Arzneimittel bla blubb kein Auto, etc. war in erheblichem Maße daran beteiligt.) Das tut mir echt Leid. Nun kann ich wieder klar denken, hoffe ich zumindest. Falls ich Müll poste, bitte ich um einen kurzen Hinweis. Man selbst merkt es immer zuletzt.

Nun zum eigentlichen Thema: Der Router war jetzt von meinem letzten Post bis heute gg. 11:00h stromlos. Ich habe dann mehrfach den Resetknof gedrückt und nun der Witz: Alle Daten sind vorhanden, der Router ließ sich dadurch nicht zurücksetzen. Was ist das bloß für eine Kiste?!

Die üblichen Einträge sind auch noch da.
Das hier sehe ich als normal an.

[INFO] Thu Feb 14 11:17:19 2013  Blockierte ankommende TCP Verbindungsaufforderung  von 77.23.126.142:3375 nach 77.23.32.92:445

Aber da ist sie wieder, oder noch, die Verbindungsaufforderung von der eigenen WAN-IP.

[INFO] Thu Feb 14 11:17:18 2013  Blockierte ankommende TCP Verbindungsaufforderung  von 77.23.32.92:49594 nach 77.23.32.92:80

NAS ist aus und ist gar nicht mit dem Router verbunden. Es läuft nur ein Mini mit ML, sonst nichts.

Jetzt werde ich den Router wieder vom Netz nehmen und so lange den Resetknopf quälen, bis er tut, was er soll.

Bis später dann

 

[rechnerteam]

So langsam (nach etlichem googlen) glaube ich ja, die Dlinks haben diesbezüglich eine Macke.
Das geht ja durch sämtliche Modelle.

Welche Macke meinst Du? Zu dem Problem der geblockten Verbindungsanfragen der eigenen WAN-IP habe ich nichts gefunden. Das kann aber an meinen Suchstrings liegen, mir fiel dazu nichts passendes ein.

Außerdem: Wie viele User prüfen regelmäßig die Logfiles? Häufig sind die nicht mal aktiviert.

Bitte probier das trotzdem aus, mit dem reset, und berichte.

Ein weiterer hat ständig das WLAN verloren und der letzte hatte den akuten Drang sich ständig zu resetten

Diesen Router zu resetten ist gar nicht so einfach. Wie oben geschrieben, hat er weder auf den Reset-Knopf reagiert, noch auf den Entzug von Strom. Nur über das Webinterface habe ich ihn auf Werkseinstellungen zurücksetzen können. Ob das wirklich funktioniert hat, ich weiß es nicht.

Zumindest waren alle Einstellungen gelöscht und ich konnte ihn neu konfigurieren. Ich habe dem Mini eine IP außerhalb der DHCP-Range gegeben. Wenn ich den LAN-seitigen DHCP-Server abschalte, geht gar nichts mehr.

Leider ist Meldung (Verbindungsaufforderung von eigener WAN-IP blocckiert) immer noch im Logfile. Bisher kein IP adress spoofing, aber dafür ist die neue noch zu frisch. Das dauert immer ein bisschen.

Mal schauen, was noch so auftaucht.

Das wäre durchaus was für die c't, nachdem sich Dlink eh' schon so deppert angestellt hat

An die c't habe ich auch schon gedacht. Ich werde dort mal anfragen, ob sie sich die beiden Router zur Brust nehmen wollen. Der DIR-615 hat sogar noch Garantie, früher warenbei D-Link 10 Jahre üblich. Das sollte ich in Anspruch nehmen, falls es nachweislich an den Routern liegt. Ob auf dem DIR 655 noch Garantie ist, bezweifle ich.

Und du brauchst den aushäusigen Verdächtigen nicht mehr verdächtigen.

DAS wäre einfach nur gut.

Ich besorge schneiistmöglich einen anderen Router. Hier liegt noch eine Eumex IP, die mein Sohn leider totgeflasht hat. Aber vielleicht kann ich sie wiederbeleben. Die passende Firmware von AVM habe ich (Sohnemann hat die falsche genommen). Damit werde ich mich am Wochenende beschäftigen.

So viel bis hierhin. Bin gespannt, was am Ende dabei rauskommt.

Die Herstellergarantie des DIR-655 ist in der 1.KW 2013 abgelaufen , aber der DIR-615 hat noch ein paar ein Jahre. Ich werde beim Händler anfragen, ob was machbar ist, wenn ich ein anderes Gerät bei ihm kaufe.

 

[rechnerteam]

Nach 24 Stunden Betrieb mit nur einem Rechner am Router: Die Meldungen mit der eigenen WAN-IP von außen tauchen weiterhin auf, die IP hat gewechselt, ohne dass eine IP adress spoofing Meldung erschien.

Ich habe mich entschlossen, einen neuen Router anzuschaffen. Im ebay Kleinanzeiger gibt es ein paar gute Angebote für Fritzboxen. Das sind feine Teile, aber dann käme noch Gigabyte-Switch dazu. Die Telefonie müsste weiter über das Modem laufen. Denn ich lese überall, dass mit einer eigenen Fritzbox nur eine Leitung bedient wird. Oder verstehe ich da wieder etwas falsch?
Mieten ist auch doof, 30 Euro Bearbeitungsgebühr, geht's noch...

Daher tendiere ich zum TP-Link WDR 3600 N600 oder z.B diesem Asus RT-N16 DD-WRT Linux Firmware Support.

Fritzbox leihen klappt nicht, ich werde einen Mini mit einem neu angelegten Benutzer direkt hinter das Modem hängen zum Capturen. Dann ist klar, ob es am Router liegt oder die Verbindungsanfragen tatsächlich von außen kommt.

Und dann ist fertig, gehe ich mal von aus.

Der Händler möchte nicht kulant sein, schade.

 

[mikne64]

Hallo rechnerteam,

also 2 Macs und 1 NAS kannst Du auch mit einer aktuellen Fritz!Box betreiben, wenn Du das per LAN-Kabel anschließen willst, per WLAN sollte es kein Problem sein.
Wieviel Leitungen brauchst Du denn? 2 Leitungen wie bei ISDN sind ohne Probleme möglich.

Viele Gruesse

 

[roedert]

...Die Telefonie müsste weiter über das Modem laufen.

ich werde einen Mini mit einem neu angelegten Benutzer direkt hinter das Modem hängen zum Capturen.

Du verwechselst hier wohl einiges und solltest dich mal informieren was ein "Modem" ist.
Beim DSL-Anschluß ist es ein "ziemlich doofes Teil" - Echte "Modems" gibt es kaum noch - es sind fast alles Kombinationen aus Modem und Router.
Ein Modem (oder Kombination Modem/Router die nur als Modem konfiguriert wurde) kann keine Telefonie machen. Es hat nichtmal eine IP-Adresse und spricht auch gar kein TCP/IP ... es kommuniziert mit dem Router (bzw. dem Teil wo die Internet-Einwahldaten hinterlegt sind) über PPPoE.
Aus IP-Sicht ist immer der Router die Schnittstelle zum Internet, das Modem spielt dabei gar keine Rolle.

 

[rechnerteam]

Hallo roedert,

Du solltest den Thread lesen
Es handelt sich um einen Anschluss von Kabel Deutschland, bei dem sehr wohl ein reines Modem mit Telefonie betrieben wird. Es hat eine WAN-IP vom ISP, vergibt eine LAN-IP und nun kommst Du.

 

[rechnerteam]

Hallo Mikne64,

danke für den Tipp, natürlich geht das. Allerdings ist dabei immer die Struktur des Netzwerks zu berücksichtigen, also wo was steht, wo sich die Multimediadose befindet etc. Dann ist es auch eine Frage des Budgets und der Ansprüche an das Gerät. Die einzige Fritzbox, die hier sinnvoll wäre, ist eine 6360 von Kabel Deutschland, mit einem Gigabit-Switch dahinter. Mieten will ich nicht, kaufen wird nicht angeboten.

Die Entscheidung ist gefallen, es kommt ein TP-Link ins Haus Ich habe die Wahl verschiedenen Firmwares und die Innereien sind okay. Es gibt noch einen Netgear, den ich mir näher anschauen muss, aber es wird wohl auf den TP-Link hinauslaufen.

Gruß zurück

 

[rechnerteam]

Muster gefunden

Kurzer Zwischenstand: Nachdem der D-Link-Router sich über das Webinterface zurücksetzen ließ, habe ich ihn ein paar Tage mit nur einem Mini dran laufen lassen.
Keine Meldungen über IP adress spoofing, wobei das immer ein wenig dauert. Aber bisher nichts, auch keine LAND Attacken. Aber da der DHCP-Server ne Macke hat, der Reset-Knopf auf der Rückseite funktionslos ist und auch der USB-Port mackig ist, ist dieses Gerät ein Fall für Mülltonne.

Die Verbindungsanfragen von der eigenen WAN-IP füllen weiterhin das Router Logfile. Was es damit auf sich hat, würde ich gern mit Eurer Hilfe klären, wenn der neue Router im Haus ist. Falls sie dann noch auftauchen. Dort habe ich ein Muster gefunden: Die Meldungen erscheinen nur, wenn der Mini online ist. An Tagen, an denen kein Gerät auf das Internet zugreift, erscheinen diese Meldungen nicht. Das ist reproduzierbar.

Ich habe einen TP-Link WDR3600 bestellt. Der müsste in ein paar Tagen hier eintreffen. Dann sehen wir weiter.