Netzwerkanalyse | Mitm | Dns Spoof | Arp

[netcap]

Hallo zusammen,

Ich habe hier eine Frage und eventuell ein Problem mit meinen Netzwerk und Router.

Ich habe mein Router komplett neu konfiguriert und den DHCP Server ausgeschaltet. 

Die Heimnetzwerkfreigaben wie Zugriff für Anwendungen zulassen, Statusinformationen über UPnP übertragen, Smarthome-Funktion im FRITZ!Box-Heimnetz freigeben

komplett deaktiviert. Ich benutze die Fritzbox 7330 und konfiguriere die Ip Adressen manuell sprich statisch.  Als Netzwerk tool verwende ich unter anderem snort und ettercap. Zu der Firewall benutze ich auch iptables. Als Betriebsystem habe ich Linux.

Zu meinem Anliegen:

Ich bekomme vermehrt Logbeiträge von Snort die so aussehen:

 

[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
12/16-12:57:22.942468 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:128 TOS:0x10 ID:0 IpLen:20 DgmLen:328
Len: 300
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666]

[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
12/16-12:57:46.705923 :: -> ff02::16
IPV6-ICMP TTL:1 TOS:0x0 ID:256 IpLen:40 DgmLen:76
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666]

[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
12/16-12:57:46.842591 :: -> ff02::1:ff18:3be4
IPV6-ICMP TTL:255 TOS:0x0 ID:0 IpLen:40 DgmLen:64
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666]

[**] [1:2925:3] INFO web bug 0x0 gif attempt [**]
[Classification: Misc activity] [Priority: 3]
12/16-13:23:41.941410 62.146.83.70:80 -> 192.168.178.20:59537
TCP TTL:56 TOS:0x0 ID:51786 IpLen:20 DgmLen:512 DF
***AP*** Seq: 0xB197456C  Ack: 0xEFB6D85A  Win: 0x7A  TcpLen: 32
TCP Options (3) => NOP NOP TS: 459280287 1980012 

[**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**]
[Classification: Misc activity] [Priority: 3]
02/05-18:59:06.935951 217.82.24.106 -> 192.168.178.21
ICMP TTL:63 TOS:0xC0 ID:7651 IpLen:20 DgmLen:56
Type:3  Code:13  DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED,
PACKET FILTERED
** ORIGINAL DATAGRAM DUMP:
192.168.178.21:51582 -> 217.82.24.106:80
TCP TTL:63 TOS:0x0 ID:7651 IpLen:20 DgmLen:60 DF
Seq: 0x170E6B86
** END OF DUMP

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/08-23:47:30.005079 192.168.178.1:53 -> 192.168.178.21:41920
UDP TTL:64 TOS:0x0 ID:53012 IpLen:20 DgmLen:80
Len: 52

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/08-23:48:04.559984 192.168.178.1:53 -> 192.168.178.21:47163
UDP TTL:64 TOS:0x0 ID:53038 IpLen:20 DgmLen:73
Len: 45

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/08-23:48:04.776481 192.168.178.1:53 -> 192.168.178.21:60517
UDP TTL:64 TOS:0x0 ID:53040 IpLen:20 DgmLen:77
Len: 49

Das ist einige Beispiele die tag täglich erhalte. Nun würde ich gerne der Sache auf den Grund gehen und habe mir das Programm ettercap zusätzlich installiert.

Dies kamm auch nur zu stande weil meine Anfragen wohl nie wirklich zum Ziel gekommen sind. Nachdem auf einmal auch einige Email Konten sowie das Paypal Konto gehackt wurden musste ich handeln und ich vermute einen sogenannten "Man in the Middle" dahinter. Nun habe ich mit Ettercap einen Hostscan durchgeführt und ich sehe da folgendes drinne:

 

Listening on:
 wlan0 -> 94:39:xx:xx:xx:xx
	  192.168.178.20/255.255.255.0
	  fe80::9639:xxxx:xxxx:xxxx/64

Scanning the whole netmask for 255 hosts...
2 hosts added to the hosts list...

192.168.178.1 -> 08:96:xx:xx:xx:xx
192.168.178.201 -> 08:96:xx:xx:xx:xx

Ich verbinde mich mit dem Wlan Anschluss die Ip: 192.168.178.20 Mac: 94:39:xx:xx:xx:xx

Die Fritzbox hat die 192.168.178.1 -> 08:96:xx:xx:xx:xx

Aber was ist mit der 192.168.178.201 ? die erscheint auch erst nach einem direkten hostscan und ist ja eigentlich aus dem Netzbereich oder ist das ein verständniss Fehler meinerseits ?

 

Ich würde mich freuen wen ihr mir helfen könntet? vielen dank

Gruss

 

 

 

 

 

 

[Gast]

Ist die MAC Adresse von den 201 er Host tatsächlich identisch mit der Fritzbox ? Was passiert wenn du x.x.x.201 mal anpingst ?

[netcap]

Hallo Gast,

danke für deine Antwort. Nun ein ping liefert mir derzeitig folgendes

knoppix@UserLinux:~$ ping -a 192.168.178.201
PING 192.168.178.201 (192.168.178.201) 56(84) bytes of data.
^C
--- 192.168.178.201 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7007ms

 

In Snort Logdatei

[**] [1:368:6] ICMP PING BSDtype [**]
[Classification: Misc activity] [Priority: 3] 
12/17-10:52:33.490046 192.168.178.20 -> 192.168.178.201
ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:7307   Seq:903  ECHO
[Xref => http://www.whitehats.com/info/IDS152]

[**] [1:366:7] ICMP PING *NIX [**]
[Classification: Misc activity] [Priority: 3] 
12/17-10:52:33.490046 192.168.178.20 -> 192.168.178.201
ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:7307   Seq:903  ECHO

[**] [1:384:5] ICMP PING [**]
[Classification: Misc activity] [Priority: 3] 
12/17-10:52:33.490046 192.168.178.20 -> 192.168.178.201
ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:7307   Seq:903  ECHO

 

und tcpview -i wlan0 liefert mir das:

10:53:24.490040 IP UserLinux.fritz.box > 192.168.178.201: ICMP echo request, id 7307, seq 954, length 64
10:53:25.453386 IP UserLinux.fritz.box.58204 > fritz.box.http: Flags [.], ack 195083, win 331, options [nop,nop,TS val 929000 ecr 240643], length 0
10:53:25.455748 IP fritz.box.http > UserLinux.fritz.box.58204: Flags [.], ack 81129, win 2252, options [nop,nop,TS val 241644 ecr 925998], length 0
10:53:25.490091 IP UserLinux.fritz.box > 192.168.178.201: ICMP echo request, id 7307, seq 955, length 64
10:53:26.490115 IP UserLinux.fritz.box > 192.168.178.201: ICMP echo request, id 7307, seq 956, length 64
10:53:26.633374 IP UserLinux

 

[Crash2001]

Die frage, ob es sich wirklich um exakt die selbe MAC-Adresse handelt hast du noch nicht beantwortet.
Ist das wirklich GENAU die gleiche MAC-Adresse, oder unterscheidet sie sich vielleicht doch in einer Stelle von der MAC-Adresse für das Gateway (also die deiner FritzBox)?

[netcap]

Hallo Crash2001,

Danke für deine Antwort. Ob es sich exakt um die selbe Mac Adresse handelt kann ich noch nicht 100% sagen. Dennoch hat jedes Hardwaregerät

doch eine Hardwareadresse es sei den es sind weitere Schnittstellen oder Adapter vorhanden. Von daher gehe ich davon aus das es sich um exakt die selbe

Macadresse (lokal) handelt. Korregiere mich wen ich falsch liege. Selbst wen ich den DHCP Server anschalte und die adressen dynamisch vergebe erscheint bei

einem Hostscan noch eine weitere Adresse:

Beispiel  1 Computer angeschlossen: Schnittstelle eth0 | Wlan aus

192.168.178.1 -> 08:96:D7:xx:xx:xx

192.168.178.201 -> 08:96:D7:xx:xx:xx

192.168.178.202 -> 08:96:D7:xx:xx:xx

Auf eine Rückantwort würde ich freuen.

Gruss

Bearbeitet 17. Dezember 2015 von netcap

[Crash2001]

Grundsätzlich hat jedes L3-Interface eine eigene MAC-Adresse.
Reine L2-Interface (z.B.) bei einem L2-Switch) brauchen keine eigene MAC-Adresse, sondern der Switch hat dann eine einzige MAC-Adresse für alle Interface zusammen.

Die MAC Address Range 08:96:D7:00:00:00 - 08:96:D7:FF:FF:FF  ist laut OUI dem Hersteller AVM zugeordnet. Somit sollte es also schon mal ein Gerät von AVM sein, falls nicht irgendwer die MAC-Adresse geklont hat.
Sind eventuell noch andere AVM-Geräte bei dir in Betrieb? Ein Repeater z.B., oder ein Telefon-Mobilteil von AVM? Oder hast du eine VPN-Verbindung eingerichtet, über die sich jemand Per AVM-Tool oder über eine andere FritzBox bei dir einwählen kann?
Die FritzBox selber sollte im LAN-Segment eigentlich nur eine IP-Adresse belegen.

Es wäre halt wichtig zu wissen, ob es exakt die selbe MAC-Adresse ist, oder doch eine minimal andere.

[netcap]

Danke für deine ausführliche Antwort. Also ich habe jetzt nochmal einen test lokal gemacht und ohne Anbindung mit dem Internet (Telefonanschluss).
Ich kann mich mit dem Netzwerkkabel sowie mit Wlan verbinden sprich zur Fritzbox habe dann nochmal einen neuen Scan durchgeführt und es ist eine Mac Adresse vorhanden undzwar die vom Router 192.168.178.1 -> 08:96:D7:xx:xx:xx
Verbinde ich mich nun mit dem Internet sind beide Adressen wieder vorhanden.
192.168.178.1 -> 08:96:D7:xx:xx:xx
192.168.178.201 -> 08:96:D7:xx:xx:xx

Ich habe alle aktivitäten wie die Heimnetzwerkfreigaben wie Zugriff für Anwendungen zulassen, Statusinformationen über UPnP übertragen, Smarthome-Funktion im FRITZ!Box-Heimnetz
deaktiviert. Zusätzlich habe ich in meinen Einstellungen den IPv6 deaktiviert. Die Fritzbox hat noch ein Haustelefon angeschlossen.
Eine VPN Verbindung ist nicht eingerichtet. Es sind keine weiteren AVM Geräte angeschlossen. Ich werde das Gefühl nicht los falsch verbunden zusein.
Was mir auch aufgefallen ist dass wen ich Seiten im Internet ansurfe zb ebay.de bekomme ich die Nachricht

Die Ip Adresse stimmt nicht mit den Adressen von den externen DNS-Server überein
Diese Webseite läuft bei einen CDN Hoster
Hostname:ebay.de
Hostip: 104.87.215.217
Land: neues oder internet Netzwerk (xx)
Reverse DNS: a104-87-215-217.deploy.static.akamaitechnologie.com

Bis hierhin bedanke ich mich auch schonmal.
Gruss

[Pixelfuchs]

Hallo,

die 192.168.178.201 wird bei AVM in der Regel dem ersten VPN-Benutzer zugewiesen. Vielleicht ist doch noch irgendwo VPN eingerichtet?

mfg Hendrik232

[Crash2001]

vor 17 Stunden schrieb netcap:

[...]Verbinde ich mich nun mit dem Internet sind beide Adressen wieder vorhanden.
192.168.178.1 -> 08:96:D7:xx:xx:xx
192.168.178.201 -> 08:96:D7:xx:xx:xx

Sind die MAC-Adressen denn nun die selben oder doch nicht?
Ich würde einfach mal ein Update der Firmware auf die aktuelle Version machen und schauen, ob das Problem danach noch immer auftritt.

Sollte es eine VPN-Einwahl sein, so müsste eigentlich auch ein Account bei einem dyn-DNS-Anbieter vorhanden sein, damit dieser immer die aktuelle Adresse kennt - oder aber du hast eine statische WAN IP-Adresse oder bekommst immer die selbe zugeordnet vom Provider.

Zitat

[...]Was mir auch aufgefallen ist dass wen ich Seiten im Internet ansurfe zb ebay.de bekomme ich die Nachricht

Die Ip Adresse stimmt nicht mit den Adressen von den externen DNS-Server überein
Diese Webseite läuft bei einen CDN Hoster
Hostname:ebay.de
Hostip: 104.87.215.217
Land: neues oder internet Netzwerk (xx)
Reverse DNS: a104-87-215-217.deploy.static.akamaitechnologie.com
[...]

Dass große Anbieter, wie auch Ebay ihre Inhalte in Content Delivery Networks auslagern (für die Akamai einer der weltweit größten Anbieter ist - Apple lagert seine Inhalte z.B. auch darüber aus) ist ganz normal. Man sieht es den Webseiten nicht an, wo die Inhalte liegen.

Woher bekommst du diese Nachricht denn eigentlich? Wird sie dir im Browser angezeigt (welches Betriebssystem, welcher Browser?) oder woher stammt die Meldung?

Bearbeitet 18. Dezember 2015 von Crash2001
editiert

[RipperFox]

@Crash2001 Die MAC der 201er IP dürfte ohne Zeifel die der Fritzbox sein, da diese afair der Enfachheit halber proxy ARP für den von Hendrik232  erwähnten VPN Client macht.

@netcap

Am 16.12.2015 at 13:43 schrieb netcap:

Das ist einige Beispiele die tag täglich erhalte.

Naja. Die Snort Einträge sollte man ggf. auch  zu interpretieren wissen - z.B. ist

 

BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
12/16-12:57:22.942468 0.0.0.0:68 -> 255.255.255.255:67

nichts anderes als eine DHCP Anfrage..

https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

Der Rest sieht für mich zunächst einmal auch recht unverdächtig aus. Früher las man ja recht häufig Meldungen von ZoneAlarm Nutzern, dass  jemand von 127.0.0.1 aus versuchen würde, sie zu hacken..

 

 

[netcap]

Hallo zusammen,

Heute wurde es etwas später bei mir. Erstmal vielen Dank für eure Hilfe bei meinen Problemen.

Da ich gerade unterwegs bin teste ich nun auch gerne einiges. Ich führe gerade erneut einen externen Test bei einem Freund durch

Der hat ebenfalls die Fritzbox und hat Sie ohne weitere Benutzer konfiguriert. Nun habe ich einen Test durchgeführt und es ist nur die Ip Adresse

mit der dazugehörigen MAC Adresse zusehen. Lege ich einen neuen Benutzer an mit der erweiterten Einstellung

VPN-Verbindungen zur FRITZ!Box können hergestellt werden. VPN-Einstellungen anzeigen 

Erscheint die zweite Ip Adresse 192.168.178.201

@hendrik232

 

Zitat

Hallo,

die 192.168.178.201 wird bei AVM in der Regel dem ersten VPN-Benutzer zugewiesen. Vielleicht ist doch noch irgendwo VPN eingerichtet?

mfg Hendrik232

Das wird's wohl sein. Danke

@Crash2001

Zitat

Sind die MAC-Adressen denn nun die selben oder doch nicht?
Ich würde einfach mal ein Update der Firmware auf die aktuelle Version machen und schauen, ob das Problem danach noch immer auftritt.

Die MAC Adressen sind die selben. Das mit dem Firmware Update werde ich auch nochmal manuell durchführen. Auch dir vielen Dank

Zitat

Dass große Anbieter, wie auch Ebay ihre Inhalte in Content Delivery Networks auslagern (für die Akamai einer der weltweit größten Anbieter ist - Apple lagert seine Inhalte z.B. auch darüber aus) ist ganz normal. Man sieht es den Webseiten nicht an, wo die Inhalte liegen.

Woher bekommst du diese Nachricht denn eigentlich? Wird sie dir im Browser angezeigt (welches Betriebssystem, welcher Browser?) oder woher stammt die Meldung?

Ich arbeite mit Linux (Distribution Knoppix ) Als Browser benutze ich Iceweasel/Firefox dazu habe ich mir das Addon von World IP DNS installiert " Professional Geo Add-on with security features and advanced network tools. The real location of web server and extended information about datacenter. Anti-phishing solution. Security features against DNS spoofing and fake website" dort wird es mir im Browser angezeigt. Habt ihr hilfreiche Addons? Für den Browser zurzeit verwende ich NoScript, Click&Clean, Bluhell Firewall sowie Better Privacy und PrivacyBadger

@RipperFox

Zitat

Der Rest sieht für mich zunächst einmal auch recht unverdächtig aus. Früher las man ja recht häufig Meldungen von ZoneAlarm Nutzern, dass  jemand von 127.0.0.1 aus versuchen würde, sie zu hacken..

Also mehr als False positive zu interpretieren. Okay Danke

Schönes Wochenende euch ...

Gruss

 

 

[Crash2001]

Also falls die VPN-Einwahl nicht irregulär sein sollte, kann ich eigentlich keine Probleme erkennen.

Das sollte man aber mal überprüfen.

Eigentlich bekommt man auf der Hauptseite aber angezeigt, wenn jemand per VPN eingewählt ist. Hängt aber auch wieder von der Firmware ab.