LAND Attacke und IP-Spoofing, wann wird es kritisch?

[rechnerteam]

Neuer Router und gleich eine Frage

Hallo,

heute ist endlich der neue Router, ein TP-Link WDR3600, eingetroffen (den ersten hat DHL verbaselt).

Kann mir bitte jemand verraten, warum statt einer IPv4 das hier

53a9bae1

im Logfile steht? Damit kann ich so rein gar nichts anfangen , das stellt die IP des DNS 1 dar und ist mir in der Form bewusst noch nicht untergekommen. Hat das was mit IPv6 und/oder DHCPv6 und dem Übergangsmechanismus zu tun?

Bitte schließt meine Bildungslücke.

Danke

 

[Olivetti]

Man geht dazu über, das Interface anzuzeigen (MAC-Adresse), weil man sonst alles doppelt darstellen müsste (IPv4/IPv6).
Ich find's eh' besser. Mir fehlt nur immer ein Feld für die eigene Benennung.

 

[rechnerteam]

Danke für die Erklärung. Verstehe ich das richtig, es handelt sich um die MAC-Adresse des DNS-Servers? Dann aber nur einen Teil davon, oder ich verstehe was falsch. Denn wenn ich diese Bytes in einen MAC Adress Finder eingebe, kommt nichts dabei raus, oder fehlt die OUI?

Hast Du einen Tipp für mich, wo ich mich einlesen kann? Ich habe erhebliche Lücken. Am liebsten ein Buch, aber eine gute Seite für den Anfang wäre auch nicht schlecht. Schließlich muss ich ja die Logfiles verstehen.

Edit: Ich habe Deine Antwort erst jetzt mitbekommen. Die Benachrichtigung traf doch schon nach 3 Stunden ein (o2 can do).

 

[Olivetti]

Wenn das wirklich die ganze Zahl ist, kann es auch IPv4-hexcodiert sein.
Dann könnte es 83.169.186.225 sein.
Kann ich evtl. den ganzen Log-Eintrag haben?

In was willst du dich einlesen? IPv6 (und Abschnitt Literatur) und hier und vor allem da.
(Ich muss unbedingt meine Bookmarks aufräumen )
Und macht dein Provider denn IPv6, also hat dein Router eine v6-IP bekommen?

 

[rechnerteam]

Das ist die ganze Zahl und die IP ist 83.169.186.226. Was mache ich bloß falsch? Hexcodierung war meine erste Idee und HexEdit gibt mir drei Zeichen aus.

Einlesen…ich meine das Thema Netzwerkprotokolle, je mehr ich mich damit beschäftige, umso deutlicher werden die Lücken. Ein Buchtipp wäre klasse, obwohl, ich könnte auch stöbern…

Auf die Schnelle hier ein Auszug aus dem Logfile (ausführlicher klappt erst Donnerstag, bin morgen nicht da)

Feb 26 17:04:36    DHCP          INFO       DHCPS:Recv DISCOVER from A8:20:ma:cm:in:i9
Feb 26 17:04:37    DHCP          INFO       DHCPS:Send OFFER with ip 192.168.0.199
Feb 26 17:04:37    DHCP          INFO       DHCPC Send DISCOVER with request ip 0 and unicast flag 0
Feb 26 17:04:37    DHCP          INFO       DHCPC Recv OFFER from server 53a9ba82 with ip 4d16fac8
Feb 26 17:04:37    DHCP          INFO       DHCPC Send REQUEST to server 53a9ba82 with request ip 4d16fac8
Feb 26 17:04:38    DHCP          INFO       DHCPC Recv ACK from server 53a9ba82 with ip 4d16fac8 lease time 1800
Feb 26 17:04:38    DHCP          INFO       DHCPC:GET ip:4d16fac8 mask:fffffe00 gateway:4d16fbfe dns1:53a9baa1 dns2:53a9bae1 static route:0
Feb 26 17:04:38    DHCP          NOTICE     Dynamic IP(DHCP Client) obtained an IP successfully
Feb 26 17:04:38    DHCP          INFO       DHCPS:Recv REQUEST from A8:20:ma:cm:in:i9
Feb 26 17:04:38    DHCP          INFO       DHCPS:Send ACK to 192.168.0.199

Habe nachgeschaut, alle IPs sind Hexcodiert. Was soll das denn? Ich hoffe, dass ich den Router falsch kofiguriert habe. Naja, die neuste Firmware ist installiert.

 

[Olivetti]

Get this... Hex 53 -> Dez 83 usw.

Hast du IPv6?

 

[rechnerteam]

Laut ipv6-test.com:

Your internet connection is not IPv6 capable

N/A
unable to contact IPv6 test server

Der Router kann IPv6, habe es aber deaktiviert nach diesem Test.

Danke für den Link. Jede IP zusammensuchen, . Da muss eine andere Lösung her.

 

[Olivetti]

Schon etwas verwirrend, warum der DHCP-Client alles in hex loggt.
Damit holt sich der Router seine WAN-Adresse von KD.
Das wirst du sicher nicht ändern können. Da müsste TP-Link ran und die Firmware ändern.
Mail denen doch einfach, vlt. haben die das eh' schon auf der Todo-Liste.
Aber wie gesagt, es kann auch wegen IPv4/v6 Dual-Betrieb sein.

Die DHCPS-Einträge (Server ist für dein W/LAN zuständig) passen ja und da siehst du Klartext deine MAC und IPv4-Adressen.

Bücher kann ich keine empfehlen, stöber doch mal bei den üblichen Verdächtigen mit Blick-ins-Buch-Funktion.
Galileo und O'Reilly haben auch »Open Books«

 

[rechnerteam]

O'Reilly ist mir ein Begriff, da werde ich ansetzen, danke.

Dann werde ich mich mit TP-Link in Verbindung setzen und nachfragen, was das für einen Sinn hat.
Falls es zu sehr nervt, kann ich den WAN-seitigen DHCP-Server ja abschalten und feste IPs zuweisen. Die IPs in hex lassen sich tatsächlich nur mit der Tabelle in Klartext umwandeln. Habe noch kein Script oder Programm gefunden.

Alternativ kann ich open-wrt installieren, falls auch Zugriffe von außen in hex geloggt werden. Mal abwarten, was sich tut, jetzt, wo die D-Link Router aus dem Netzwerk entfernt wurden. Vielleicht kehrt ja Ruhe ein. Bei diesem Router kann man wenigstens eine Schwelle einstellen. Die D-Link-Router loggen jede einzelne Verbindungsanfrage, jedes Ping, etc. Das war etwas übertrieben. Jetzt muss ich nur zählen, wie häufig pro Minute die Anfragen von der WAN-IP kamen, damit die Schwelle nicht zu hoch eingestellt wird.

Jetzt ist aber Augenpflege angesagt.

Danke Dir und

 

[Olivetti]

... Habe noch kein Script oder Programm gefunden. ...

#!/bin/bash
#set -vxn

[[ "$1" = "-h" ]] && echo "Usage: ${0##*/} ip-address-in-hex" && exit 1

ip=${1:-53a9bae1}

echo -n "$ip : "
echo -n "$((0x${ip:0:2}))."
echo -n "$((0x${ip:2:2}))."
echo -n "$((0x${ip:4:2}))."
echo -n "$((0x${ip:6:2}))"
echo

Good nite

 

[rechnerteam]

Ah, ein Script, danke Dir. Das Routerlog File enthält nur noch hexcodierte IPs. Das mag daran liegen, dass ich den LAN-seitigen DHCP-Server deaktiviert habe. Sehr gewöhnungsbedürftig finde ich das. Der Support hat sich bisher nicht gemeldet. Ich glaube, ich pack auf den Router open-WRT drauf.

 

[rechnerteam]

Ich traue mich kaum, es zu schreiben, aber ich habe kaum praktische Erfahrung mit Scripten für das Terminal. Muss ich es mit jeder einzelnen hexadezimalen IP ins Terminal kopieren? Oder übersehen ich mal wieder was?

Dieser Router zeigt bisher gar keine Verbindungsanfragen, einfach nichts von außen, im Log an. Ich habe das Protokollieren zwar aktiviert, aber es erscheint kein Eintrag. Zu diesen Routern gibt es auch kein Forum, hm…

TP-Link stellt die Firmware DD-WRT für diesen Router bereit, über die ich nur Gutes lese. Das Archiv (tar.gz) liegt schon auf der Festplatte, mit etlichen Ordnern drin. Da kann man sicher eine Menge falsch machen (und dafür habe ich momentan ein Händchen). Ist es sehr frickelig, die Firmware und die Tools zu installieren? Das ist Neuland für mich, da es mit Firmwareupdates offensichtlich nicht zu vergleichen ist. Ein wenig Hilfe wäre gut, dann klappt das bestimmt.

Edit: Alles wird gut. Vom FTP-Server von dd-wrt.com habe ich die compilierten bin-Dateien mit der alternativen Firmware heruntergeladen. Außerdem finden sich dort zu jeder Frage Antworten, so mein Eindruck. Vieles auch auf Deutsch, was mir zur Zeit sehr entgegen kommt.