netcap

Hallo zusammen, Heute wurde es etwas später bei mir. Erstmal vielen Dank für eure Hilfe bei meinen Problemen. Da ich gerade unterwegs bin teste ich nun auch gerne einiges. Ich führe gerade erneut einen externen Test bei einem Freund durch Der hat ebenfalls die Fritzbox und hat Sie ohne weitere Benutzer konfiguriert. Nun habe ich einen Test durchgeführt und es ist nur die Ip Adresse mit der dazugehörigen MAC Adresse zusehen. Lege ich einen neuen Benutzer an mit der erweiterten Einstellung VPN-Verbindungen zur FRITZ!Box können hergestellt werden. VPN-Einstellungen anzeigen Erscheint die zweite Ip Adresse 192.168.178.201 @hendrik232 Das wird's wohl sein. Danke @Crash2001 Die MAC Adressen sind die selben. Das mit dem Firmware Update werde ich auch nochmal manuell durchführen. Auch dir vielen Dank Ich arbeite mit Linux (Distribution Knoppix ) Als Browser benutze ich Iceweasel/Firefox dazu habe ich mir das Addon von World IP DNS installiert " Professional Geo Add-on with security features and advanced network tools. The real location of web server and extended information about datacenter. Anti-phishing solution. Security features against DNS spoofing and fake website" dort wird es mir im Browser angezeigt. Habt ihr hilfreiche Addons? Für den Browser zurzeit verwende ich NoScript, Click&Clean, Bluhell Firewall sowie Better Privacy und PrivacyBadger @RipperFox Also mehr als False positive zu interpretieren. Okay Danke Schönes Wochenende euch ... Gruss

Danke für deine ausführliche Antwort. Also ich habe jetzt nochmal einen test lokal gemacht und ohne Anbindung mit dem Internet (Telefonanschluss). Ich kann mich mit dem Netzwerkkabel sowie mit Wlan verbinden sprich zur Fritzbox habe dann nochmal einen neuen Scan durchgeführt und es ist eine Mac Adresse vorhanden undzwar die vom Router 192.168.178.1 -> 08:96:D7:xx:xx:xx Verbinde ich mich nun mit dem Internet sind beide Adressen wieder vorhanden. 192.168.178.1 -> 08:96:D7:xx:xx:xx 192.168.178.201 -> 08:96:D7:xx:xx:xx Ich habe alle aktivitäten wie die Heimnetzwerkfreigaben wie Zugriff für Anwendungen zulassen, Statusinformationen über UPnP übertragen, Smarthome-Funktion im FRITZ!Box-Heimnetz deaktiviert. Zusätzlich habe ich in meinen Einstellungen den IPv6 deaktiviert. Die Fritzbox hat noch ein Haustelefon angeschlossen. Eine VPN Verbindung ist nicht eingerichtet. Es sind keine weiteren AVM Geräte angeschlossen. Ich werde das Gefühl nicht los falsch verbunden zusein. Was mir auch aufgefallen ist dass wen ich Seiten im Internet ansurfe zb ebay.de bekomme ich die Nachricht Die Ip Adresse stimmt nicht mit den Adressen von den externen DNS-Server überein Diese Webseite läuft bei einen CDN Hoster Hostname:ebay.de Hostip: 104.87.215.217 Land: neues oder internet Netzwerk (xx) Reverse DNS: a104-87-215-217.deploy.static.akamaitechnologie.com Bis hierhin bedanke ich mich auch schonmal. Gruss

Hallo Crash2001, Danke für deine Antwort. Ob es sich exakt um die selbe Mac Adresse handelt kann ich noch nicht 100% sagen. Dennoch hat jedes Hardwaregerät doch eine Hardwareadresse es sei den es sind weitere Schnittstellen oder Adapter vorhanden. Von daher gehe ich davon aus das es sich um exakt die selbe Macadresse (lokal) handelt. Korregiere mich wen ich falsch liege. Selbst wen ich den DHCP Server anschalte und die adressen dynamisch vergebe erscheint bei einem Hostscan noch eine weitere Adresse: Beispiel 1 Computer angeschlossen: Schnittstelle eth0 | Wlan aus 192.168.178.1 -> 08:96:D7:xx:xx:xx 192.168.178.201 -> 08:96:D7:xx:xx:xx 192.168.178.202 -> 08:96:D7:xx:xx:xx Auf eine Rückantwort würde ich freuen. Gruss

Hallo Gast, danke für deine Antwort. Nun ein ping liefert mir derzeitig folgendes knoppix@UserLinux:~$ ping -a 192.168.178.201 PING 192.168.178.201 (192.168.178.201) 56(84) bytes of data. ^C --- 192.168.178.201 ping statistics --- 8 packets transmitted, 0 received, 100% packet loss, time 7007ms In Snort Logdatei [**] [1:368:6] ICMP PING BSDtype [**] [Classification: Misc activity] [Priority: 3] 12/17-10:52:33.490046 192.168.178.20 -> 192.168.178.201 ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF Type:8 Code:0 ID:7307 Seq:903 ECHO [Xref => http://www.whitehats.com/info/IDS152] [**] [1:366:7] ICMP PING *NIX [**] [Classification: Misc activity] [Priority: 3] 12/17-10:52:33.490046 192.168.178.20 -> 192.168.178.201 ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF Type:8 Code:0 ID:7307 Seq:903 ECHO [**] [1:384:5] ICMP PING [**] [Classification: Misc activity] [Priority: 3] 12/17-10:52:33.490046 192.168.178.20 -> 192.168.178.201 ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF Type:8 Code:0 ID:7307 Seq:903 ECHO und tcpview -i wlan0 liefert mir das: 10:53:24.490040 IP UserLinux.fritz.box > 192.168.178.201: ICMP echo request, id 7307, seq 954, length 64 10:53:25.453386 IP UserLinux.fritz.box.58204 > fritz.box.http: Flags [.], ack 195083, win 331, options [nop,nop,TS val 929000 ecr 240643], length 0 10:53:25.455748 IP fritz.box.http > UserLinux.fritz.box.58204: Flags [.], ack 81129, win 2252, options [nop,nop,TS val 241644 ecr 925998], length 0 10:53:25.490091 IP UserLinux.fritz.box > 192.168.178.201: ICMP echo request, id 7307, seq 955, length 64 10:53:26.490115 IP UserLinux.fritz.box > 192.168.178.201: ICMP echo request, id 7307, seq 956, length 64 10:53:26.633374 IP UserLinux

Hallo zusammen, Ich habe hier eine Frage und eventuell ein Problem mit meinen Netzwerk und Router. Ich habe mein Router komplett neu konfiguriert und den DHCP Server ausgeschaltet. Die Heimnetzwerkfreigaben wie Zugriff für Anwendungen zulassen, Statusinformationen über UPnP übertragen, Smarthome-Funktion im FRITZ!Box-Heimnetz freigeben komplett deaktiviert. Ich benutze die Fritzbox 7330 und konfiguriere die Ip Adressen manuell sprich statisch. Als Netzwerk tool verwende ich unter anderem snort und ettercap. Zu der Firewall benutze ich auch iptables. Als Betriebsystem habe ich Linux. Zu meinem Anliegen: Ich bekomme vermehrt Logbeiträge von Snort die so aussehen: [**] [1:527:8] BAD-TRAFFIC same SRC/DST [**] [Classification: Potentially Bad Traffic] [Priority: 2] 12/16-12:57:22.942468 0.0.0.0:68 -> 255.255.255.255:67 UDP TTL:128 TOS:0x10 ID:0 IpLen:20 DgmLen:328 Len: 300 [Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666] [**] [1:527:8] BAD-TRAFFIC same SRC/DST [**] [Classification: Potentially Bad Traffic] [Priority: 2] 12/16-12:57:46.705923 :: -> ff02::16 IPV6-ICMP TTL:1 TOS:0x0 ID:256 IpLen:40 DgmLen:76 [Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666] [**] [1:527:8] BAD-TRAFFIC same SRC/DST [**] [Classification: Potentially Bad Traffic] [Priority: 2] 12/16-12:57:46.842591 :: -> ff02::1:ff18:3be4 IPV6-ICMP TTL:255 TOS:0x0 ID:0 IpLen:40 DgmLen:64 [Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666] [**] [1:2925:3] INFO web bug 0x0 gif attempt [**] [Classification: Misc activity] [Priority: 3] 12/16-13:23:41.941410 62.146.83.70:80 -> 192.168.178.20:59537 TCP TTL:56 TOS:0x0 ID:51786 IpLen:20 DgmLen:512 DF ***AP*** Seq: 0xB197456C Ack: 0xEFB6D85A Win: 0x7A TcpLen: 32 TCP Options (3) => NOP NOP TS: 459280287 1980012 [**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**] [Classification: Misc activity] [Priority: 3] 02/05-18:59:06.935951 217.82.24.106 -> 192.168.178.21 ICMP TTL:63 TOS:0xC0 ID:7651 IpLen:20 DgmLen:56 Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED, PACKET FILTERED ** ORIGINAL DATAGRAM DUMP: 192.168.178.21:51582 -> 217.82.24.106:80 TCP TTL:63 TOS:0x0 ID:7651 IpLen:20 DgmLen:60 DF Seq: 0x170E6B86 ** END OF DUMP [**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**] [Classification: Potentially Bad Traffic] [Priority: 2] 02/08-23:47:30.005079 192.168.178.1:53 -> 192.168.178.21:41920 UDP TTL:64 TOS:0x0 ID:53012 IpLen:20 DgmLen:80 Len: 52 [**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**] [Classification: Potentially Bad Traffic] [Priority: 2] 02/08-23:48:04.559984 192.168.178.1:53 -> 192.168.178.21:47163 UDP TTL:64 TOS:0x0 ID:53038 IpLen:20 DgmLen:73 Len: 45 [**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**] [Classification: Potentially Bad Traffic] [Priority: 2] 02/08-23:48:04.776481 192.168.178.1:53 -> 192.168.178.21:60517 UDP TTL:64 TOS:0x0 ID:53040 IpLen:20 DgmLen:77 Len: 49 Das ist einige Beispiele die tag täglich erhalte. Nun würde ich gerne der Sache auf den Grund gehen und habe mir das Programm ettercap zusätzlich installiert. Dies kamm auch nur zu stande weil meine Anfragen wohl nie wirklich zum Ziel gekommen sind. Nachdem auf einmal auch einige Email Konten sowie das Paypal Konto gehackt wurden musste ich handeln und ich vermute einen sogenannten "Man in the Middle" dahinter. Nun habe ich mit Ettercap einen Hostscan durchgeführt und ich sehe da folgendes drinne: Listening on: wlan0 -> 94:39:xx:xx:xx:xx 192.168.178.20/255.255.255.0 fe80::9639:xxxx:xxxx:xxxx/64 Scanning the whole netmask for 255 hosts... 2 hosts added to the hosts list... 192.168.178.1 -> 08:96:xx:xx:xx:xx 192.168.178.201 -> 08:96:xx:xx:xx:xx Ich verbinde mich mit dem Wlan Anschluss die Ip: 192.168.178.20 Mac: 94:39:xx:xx:xx:xx Die Fritzbox hat die 192.168.178.1 -> 08:96:xx:xx:xx:xx Aber was ist mit der 192.168.178.201 ? die erscheint auch erst nach einem direkten hostscan und ist ja eigentlich aus dem Netzbereich oder ist das ein verständniss Fehler meinerseits ? Ich würde mich freuen wen ihr mir helfen könntet? vielen dank Gruss