MAC-Spoofing

DerJogi · 25 August 2008

Seit ein paar Tagen meldet meine Firewall (Sygate) im 10 Minuten Tackt ein "MAC-Spoofing" mit folgender Meldung

Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt, dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt.

Ich habe sowohl das Forum durchsucht, als auch Google befragt, konnte aber nur herausfinden, dass dieses MAC-Spoofing, sofern es innerhalb des lokalen Netzwerks geschieht, nicht gefährlich ist. So weit so gut. Was dieses Spoofing nun aber genau ist und was da passiert, habe ich noch nicht so ganz geblickt, da ich mit dem Thema Netzwerk nicht wirklich gut befreundet bin.

Die Firewall gibt als Remotehost die Fritzbox und als Lokalhost meinen Rechner an. Das ganze scheint sich also zwischen den beiden Geräten abzuspielen?

Zur eigentlich Frage. Woher kommt diese Spoofing auf einmal, was passiert da genau und vor allem wie bekomme ich das weg? Das Geblinke der Firewall nervt. Gut, ich könnte sie deaktivieren oder gleich deinstallieren aber das löst das Problem ja nicht.

Kann mir da jemand was zu sagen?

Hotbird · 25 August 2008

bist DU per Wlan daheim unterwegs oder haste das vielleicht die ganze Zeit an?

QuHno · 25 August 2008

Nuuun, da gibt's mehrere Möglichkeiten:

Wenn Du eine dynamische IP hast und diese Warnmeldungen kurz nach einem IP Wechsel kommen, kommt es wahrscheinlich von einem ARP-Paket, das noch für denjenigen bestimmt war, der Deine IP-Adresse vorher hatte und ist somit in den meisten Fällen ein Fehlalarm.

Wenn Du per WLAN unterwegs bist, ist es etwas komplizierter.
Der typische Angriff auf ein WEP Netz (solltest Du WEP als Verschlüsselung eingestellt haben: Ändere es auf WPA, WEP ist unsicher!) sieht so aus:

Der Angreifer "snifft" den Verkehr mit und ändert dann als erstes seine MAC Adresse auf die eines eingeloggten Rechners und sendet einen Haufen "Müll" in Form von manipulierten aufgeschnappten Requests um in das Netz hineinzukommen. Das kann den Alarm der Firewall auslösen. In diesem Fall solltest Du aber auch mal in Dein Routerlog hineinsehen, welche IP/MAC Kombinationen da so alles auftauchen - vorausgesetzt Du kennst die IPs und MACs Deiner eigenen Rechner.
Sicherheitshalber würde ich auch die IPs der erlaubten Rechner festtackern und keine anderen zulassen.

Sollte es sich um einen einzelnen Rechner handeln, der per Kabel reingeht und extern keine feste IP hat, und sollte die WLAN Funktion deaktiviert sein, handelt es sich in 99% aller Fälle um einen Fehlalarm - dennoch kein Grund, nicht wachsam zu sein, allerdings ist eine genaue ARP Analyse nicht ganz trivial...

PS:
Wikipedia: MAC-Spoofing
Wikipedia: ARP-Spoofing
und da auch die Links im Text zu ARP und MAC verfolgen...

DerJogi · 25 August 2008

Ich habe mich jetzt mal da reingelesen (Danke für die Links) und glaube nun zu verstehen, worum es dabei geht. Eines weiß ich jedoch noch immer nicht. Wie kommt es zu dem Spoofing und vor allem wie bekomme ich das weg.

Eines habe ich inzwischen festgestellt. Auch wenn ich die Fritz Box neu starte, meldet sich die Firewall nach wenigen Minuten wieder. Bei der Gelegenheit habe ich auch gleich mal die Firmware auf den neusten Stand gebracht. Laut Suchfunktion der FritzBox gab es zwar keine neuere Firmware aber bei AVM bin ich doch fündig geworden aber das nur am Rande. Es hat bislang aber alles nicht geholfen - regelmäßig alle 10 Minuten geht es wieder los.

Ach ja noch was zur Anbindung - also es handelt sich um eine FritzBox Fon 5140 an der 3 Rechner per Kabel angeschlossen sind aber auch wenn die anderen Rechner aus sind, kommt es zu der Meldung. In den Netzwerkeinstellungen sind nur die 3 Rechner aufgelistet, sonst nichts. WLAN hat die FritzBox nicht.

QuHno · 26 August 2008

DerJogi schrieb:
Wie kommt es zu dem Spoofing und vor allem wie bekomme ich das weg.

Häufig so ...

QuHno schrieb:
kommt es wahrscheinlich von einem ARP-Paket, das noch für denjenigen bestimmt war, der Deine IP-Adresse vorher hatte

... und das kann auch noch Stunden später sein. Manchmal versuchen z.B. einige Leute einen unterbrochenen Torrent neu aufzunehmen und ein paar der Clients senden ARP Pakete aus, wenn sie nicht sofort eine Antwort von einer IP bekommen, da sie hoffen, über die MAC Zugriff auf einen evtl "gestealthten" Rechner zu bekommen.

Abstellen: Meistens gar nicht und bestenfalls dadurch, dass der Router/Rechner von außen unsichtbar ist. ARP Pakete sind ja nicht prinzipiell etwas schlechtes, sie werden ja normalerweise zum Adressmanagement benutzt und benötigt...

Wie sieht es übrigens aus, wenn nur ein Rechner an der Fritz-Box hängt und diese keine Verbindung zum Internet hat?

Wenn dann immer noch solche Pakete kommen, ist sie es. Ist zwar eher unwahrscheinlich, aber manchmal senden auch Router ab und zu ARP Pakete, wenn sie überprüfen wollen, ob noch alle da sind, die mal da waren.

Was passiert eigentlich, wenn Du der FW sagst, sie möge den Kram blocken und Dich nicht mehr weiter damit behelligen?

DerJogi · 26 August 2008

QuHno schrieb:
Häufig so ...... und das kann auch noch Stunden später sein. Manchmal versuchen z.B. einige Leute einen unterbrochenen Torrent neu aufzunehmen und ein paar der Clients senden ARP Pakete aus, wenn sie nicht sofort eine Antwort von einer IP bekommen, da sie hoffen, über die MAC Zugriff auf einen evtl "gestealthten" Rechner zu bekommen.

Auch wenn die Verbindung stundenlang steht (derzeit seit 13 Stunden) bleibt diese Meldung. Ich habe die Verbindung gestern mehrfach neu aufgebaut - immer wieder das gleiche. Nach 1-2 Minuten meldet sich die Firewall (die ich inzwischen auch schon neu installiert habe).

Wie sieht es übrigens aus, wenn nur ein Rechner an der Fritz-Box hängt und diese keine Verbindung zum Internet hat?

Werde ich später mal ausprobieren.

Was passiert eigentlich, wenn Du der FW sagst, sie möge den Kram blocken und Dich nicht mehr weiter damit behelligen?

Das geht nicht. Das ist keine der Meldungen die angezeigt werden, wenn sich zum Beispiel ein Programm verbinden möchte. Das Symbol der Firewall in der Taskleiste wird rot und ein Kreuz blinkt. Das ist halt das Zeichen für einen "Angriff" und das kann ich auch nicht abstellen.

DerJogi · 26 August 2008

QuHno schrieb:
Wie sieht es übrigens aus, wenn nur ein Rechner an der Fritz-Box hängt und diese keine Verbindung zum Internet hat?

Das habe ich nun auch gemacht - die Meldung bleibt. Das scheint also tatsächlich von der FritzBox zu kommen. Ich habe ja schon gestern die Firmware aktualisiert und die FritzBox nun auf die Werkseinstellungen zurückgesetzt - keine Veränderung.

Weder an den angeschlossenen Rechnern, noch an der FritzBox wurde etwas verändert und Ungeziefer kann ich wohl auch ausschließen. Weder AntiVir, S&D noch AdAware konnten was entdecken und auch ein Scan mit HijackThis blieb ohne Befund. Ich glaube die FritzBox will mich veräppeln

Ich habe noch eine ältere FritzBox hier rumliegen. Die hänge ich nachher mal dran. Mal schauen was dann passiert.

MaXg · 26 August 2008

Böse Jungs:

Böse Jungs haben was gegen dich und loggen eine geraume Zeit alles was deine Box so von sich gibt (Leuchtfeuer)

Irgendwann ist genug Material da um sich Zugang zur Box zu verschaffen.

Dann ist es leichtes deinen Rechner mit ARP Päckchen zu Bombardieren - immer nur so viele, dass deine Kiste glaubt der Angreifer wäre die Fritzbox.

So schickt dein Rechner allen Datenverkehr zum Angreifer. Er loggt sie mit und schickt sie dann wirklich zur Box.
_________
Hässliches Szenario, schwer zu erkennen.

Abhilfe in solchen fällen:

- Auf die Box einloggen, WLAN aus.
- via Kabel auf die Box, WLAN Key austauschen
- neuen Key auf den lokalen Rechner einrichten
- WLAN auf der Box wieder einschalten.

Übrigens: SSID verstecken macht es dem Angreifer leichter.
Die Option heisst in der Box "Name des Funknetzwerks bekannt geben."

DerJogi · 26 August 2008

Die Box hat kein WLAN und wie gesagt kommt die Meldung auch dann, wenn ich das Kabel zum Splitter abklemme, also gar keine Internetverbindung besteht.

MaXg · 26 August 2008

Hab nicht alle Beiträge gelesen.

Lässt die Sygate alle Datenpakete auf Localhost zu?

Wenn nein -> zulassen

Hella · 27 August 2008

ich muss auch noch einmal was dazu fragen:

Bei mir flackert auch ab und zu Sygate Rot auf mit MAC Spoofing.
Klick ich aber dann das Protokoll mit Back Trace an. So erscheint meine IP mit meinem Computername oder Fritz.Fonwlan.Box
Bei der IP ist nur die letzte Zahl geändert. 21 statt 1

DerJogi · 27 August 2008

Ich hatte nun zum Test die alte FritzBox angeschlossen, allerdings ohne Veränderung. Dann habe ich die IP-Adressen der Rechner im Netzwerk verändert und es wird immer noch das MAC-Spoofing gemeldet aber als Host wird nach wie vor die alte IP angezeigt, obwohl es die IP im Netzwerk nun gar nicht mehr gibt

Die Netzwerkkarte und die Firewall habe ich de- und neu installiert, die FritzBox gewechselt, die IP-Adressen geändert, den Rechner ohne Befund auf Schädlinge überprüft, mit und ohne Internetverbindung getestet und nichts hat geholfen

MaXg · 28 August 2008

um ganz sicher zu sein kann man auch den kompletten Datenverkehr mitschneiden.

http://fritz.box/html/capture.html <- klick
bzws.

http://ip.der.box/html/capture.html

Wireshark gibt es bei Wireshark: Go deep.

QuHno · 29 August 2008

Mitloggen ist ja ganz witzig, aber dann muss man die Logfiles auch auswerten können und verstehen, was da passiert (<- ich will damit niemandem zu nahe treten, das ist eine allgemeine Feststellung)

BTW: Kann es sein, dass die Sygate einfach ARP Päckchen, die ein Router routinemäßig sendet um festzustellen, wer noch online ist damit er die LAN-Verbindung "toter" Rechner an seinem eingebauten Switch trennen und in den Ruhezustand wechseln kann, mit Angriffen pöhser Hax3r verwechselt?

Was passiert, wenn Du eine andere Fw benutzt, wie z.B. Comodo? Meckert die auch? (Die ist im paranoid Mode extrem meckerfreudig

)

DerJogi · 29 August 2008

Eine andere Firewall habe ich nicht ausprobiert und wie es aussieht, kann ich das zumindest im Moment auch nicht testen denn die Meldung ist verschwunden, nachdem ich in der Firewall die Erlaubnis für das Durchsuchen von Netzwerkdateien und Druckern deaktiviert hatte. Zum Test habe ich es nach ~2 Stunden wieder zugelassen aber bis her keine Meldung mehr. Ob es nun tatsächlich daran lag ist natürlich fraglich.

BTW: Kann es sein, dass die Sygate einfach ARP Päckchen, die ein Router routinemäßig sendet um festzustellen, wer noch online ist damit er die LAN-Verbindung "toter" Rechner an seinem eingebauten Switch trennen und in den Ruhezustand wechseln kann, mit Angriffen pöhser Hax3r verwechselt?

Evtl. ist das möglich aber fast eine Woche ununterbrochen und vorher nie? Das halte ich eher für unwahrscheinlich.

Nun denn, jetzt ist es (warum auch immer) erstmal weg.

Fireball · 8 September 2008

Hallo !

Die ARP-Pakete können nicht aus dem Internet kommen. Um das zu verstehen muss man das OSI-7-Schichtenmodell begriffen haben....
Tja, wieman sieht ist das OSI-Referenzmodell nicht nur da um mittelständische IT´ler zu Ärgern, sondern um z.B. Fehler im Netzwerk zu suchen.

Das Mac-Spoofing geschieht i.d.R. um deine Daten im LAN mitzusniffen. Sowas geht in einem geswitchten LAN (ausser MAC-Flooding) nicht (Siehe OSI-Referenzmodell

).

Es kann sein, dass dein Rechner einen Trojaner hat... Check den mal mit einer vernünftigen Antivirus-SW!! (Nimm bitte kein Avira, sondern was vernünftiges!)

@ QuHno

Das was du da so lustig beschreibst nennt man ARP-Broadcast.
Glaubst du echt, dass die Programmierer einer Firewall sowas "übersehen" und es wegen eines BC zu so einer Warnmeldung kommt? WOHL KAUM!

MaXg · 8 September 2008

Soweit ich das sehe hat keiner behauptet das ARP im WorldWideWeg funktioniert.

QuHno schrieb:
Mitloggen ist ja ganz witzig, aber dann muss man die Logfiles auch auswerten können und verstehen, was da passiert

Witzig würde ich das nicht gerade bezeichnen, verstehen was da passiert ist dagegen hilfreich.

Selbst "Ahnungslose" mit gefährlichem Halbwissen können u.U. mit einem Paketmitschnitt herauslesen das da "irgendwas" nicht stimmt.
Wenn die Alarmglocken wegen äusserst verdächtigen Paketen schrillen, hat das betrachten des Mitschnitts schon etwas gebracht.

Pauschal sagen das der User den Mitschnitt eh nicht auswerten kann, ist in fast allen Fällen falsch.
1.) Der User sieht mal was los ist, wenn er mal nichts macht.
2.) Es gibt für uns Netzwerker einen verwertbaren Mitschnitt. <- Gold Wert, wenn irgendwann nichts mehr geht.

QuHno · 9 September 2008

Fireball schrieb:
Das Mac-Spoofing geschieht i.d.R. um deine Daten im LAN mitzusniffen. Sowas geht in einem geswitchten LAN (ausser MAC-Flooding) nicht (Siehe OSI-Referenzmodell ).

<szenario>Außer jemand war so "intelligent" und hat z.B. bei sinem Router/Switch vergessen UPnP auszuschalten und eine veraltete Flash Version auf dem Rechner. Dann muss nur noch eine Webseite durch Ausnutzung einer alten Lücke im Flash Action Script ein kleines Päckchen direkt auf den Router/Switch packen und kann gemütlich direkt im Switch mitschneiden und danach die Daten versenden... (ja, das geht und wurde schon gemacht!) ... und, wenn man schon mal dabei ist, auch gleich DNS Anfragen direkt an einen anderen DNS weiterleiten um einem z.B. gefälschte Seiten als echt unterzujubeln...</szenario>
BTW: Mittles proxyARP kann auch von außen (sprich: Aus einem anderen Netz) ein ARP Request ausgelöst werden, klappt aber nur, wenn der Router transparent ist, meistens also nicht. Einige speziell manipulierte IP Pakete nutzen auch Lücken in der Routersoft aus, die den Router dazu veranlassen, MAC Adresssen der internen Rechner rauszurücken - ein weiterer Grund, auch dort ein wenig paranoid zu sein und regelmäßig zu aktualisieren, denn im Netz ist nichts so alt wie Firm/Software der vorletzten Version...

Kleine Frage am Rande: Wird die Sygate überhaupt noch gepflegt? AFAIK wurd das Produkt schon vor Jahren eingestellt, oder?

(Siehe OSI-Referenzmodell ).

Das hat in dem Fall aber ganz einfach damit zu tun, dass ein Switch im Gegensatz zu einem Hub die Signale ausschließlich an den Empfänger leitet - OK, die Logik, die dahinter steht, kann man im OSI Modell einordnen - ganz unten...

@ QuHno

Das was du da so lustig beschreibst nennt man ARP-Broadcast.

Echt jetzt?

Glaubst du echt, dass die Programmierer einer Firewall sowas "übersehen" und es wegen eines BC zu so einer Warnmeldung kommt? WOHL KAUM!

!= unmöglich.
Bei einigen FW Herstellern bezweifele ich, dass sie überhaupt etwas gesehen haben

Bei alter FW Soft könnte es z.B. vorkommen, dass sie z.B. ein NDP mit einem "bösartigen" ARP Spoofing Versuch verwechselt, wenn die jemand IPv6 Unterstützung auf seinem Rechner nachgerüstet hat (ja, ich weiß, der Header sieht ein klein wenig anders aus und es ist ein wenig weit hergeholt). Es könnte auch eine getunnelte IP Verbindung sein oder irgend etwas was mir gerade nicht einfällt. Es gibt in dem Zusammenhang so viele mögliche Ursachen, dass man ohne genaue Informationen wenig sagen kann...

Fireball · 9 September 2008

@ QuHno

Falls ich dir auf den Schlips getreten haben soll, dann war das keinstenfalls meine Absicht und ich distanziere mich davon.

Solche Sachen gehören auf meinem System ins /dev/null

So jetzt nochmal zur Sache...

Läuft auf dem betreffenden Rechner eine Virtualisierungssoftware ala´ VM-Ware oder VBox?
Ein Proxy?
Welche IP hatte der Rechner vorher, die jetzt noch im LAN vorhanden sein soll?

MAC-Spoofing

DerJogi

assimiliert

Hotbird

gehört zum Inventar

QuHno

Außer Betrieb

DerJogi

assimiliert

QuHno

Außer Betrieb

DerJogi

assimiliert

DerJogi

assimiliert

MaXg

assimiliert

DerJogi

assimiliert

MaXg

assimiliert

Hella

gesperrt

DerJogi

assimiliert

MaXg

assimiliert

QuHno

Außer Betrieb

DerJogi

assimiliert

Fireball

treuer Stammgast

MaXg

assimiliert

QuHno

Außer Betrieb

Fireball

treuer Stammgast