Unitymedia MAC-SPOOFING durch Unity!?

[pennywise]

Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt,
dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt.

Die Paketdaten werden im rechten Fenster angezeigt.


Seltsam :gsicht:

Nach wilder Suche im Internet macht mir vor allem Sorgen, dass ARP-Spoofing Zeichen für eine mögliche Umleitung des Datenverkehrs über einen anderen Server sein soll/ kann... inklusive Lesen der Passwörter etc ... jetzt sitze ich aber bei mir zu Hause; surfe also kabelgebunden ... wie kann sich da jemand dazwischenschalten?

Oder spielt da vielleicht jemand von ISH mit irgendwelchen Hackprogrammen rum?

p.s. es kann kein Trojaner oder ähnliches sein, weil es mir vor ein paar Tagen zu bunt geworden ist und ich meine Festplatte geshreddert, also vollständig gelöscht, hab ... und seit dem hab ich nur das Allernötgste installiert ... an Software kann es eigentlich nicht liegen.

Glaubt man den Informationen zu ARP-Antwort und Mac-Spoofing will mich da wohl jemand aushorchen :wut:

Xarp gibt mir auch immer infos zur änderung meiner MAC

Wenn ich den Back-Trace von Sygate nutze bekome ich folgendes:


% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '62.143.60.0 - 62.143.63.255'

inetnum: 62.143.60.0 - 62.143.63.255
netname: DE-KNRW-IP3
descr: ISH GmbH
descr: Neuss
country: DE
admin-c: EM572-RIPE
tech-c: HZ481-RIPE
status: ASSIGNED PA
mnt-by: DE-KNRW
source: RIPE # Filtered

person: E-Ulrich Mueller
address: SiBe T&N
address: Micheal Schumacher Str. 1
address: 50170 Kerpen
address: Germany
remarks: ***********************************************************
remarks: * For any network abuse / investigation / inquest issues *
remarks: * please contact for: *
remarks: * ish - NRW: abuse (at) ish.de ; Auskunft.UM (at) ish.de *
remarks: * iesy - Hessen: abuse (at) iesy.net ; Auskunft.UM (at) iesy.net *
remarks: * Unity Media: Auskunft.UM (at) unitymedia.de *
remarks: ***********************************************************
phone: +49 2273 605 8567
remarks: ***********************************************************
remarks: 1. FAX
fax-no: +49 2273 5947 2251
remarks: ***********************************************************
remarks: 2. FAX (Backup)
fax-no: +49 2273 605 4339
nic-hdl: EM572-RIPE
source: RIPE # Filtered

person: Heiko Zimmermann
address: ish NRW GmbH
address: Michael-Schumacher-Str.1
address: 50170 Kerpen
address: Germany
remarks: ** Please use email [email protected] for spam/security issues **
phone: +49 2273 605 8567
fax-no: +49 2273 5947 2251
mnt-by: DE-KNRW
nic-hdl: HZ481-RIPE
source: RIPE # Filtered

% Information related to '62.143.0.0/16AS20825'

route: 62.143.0.0/16
descr: KNRW IP Space
origin: AS20825
mnt-by: DE-KNRW
source: RIPE # Filtered



Jemand nen Plan? Ich nicht mehr :wand: :wand: :wand: :kratz:

 

[Moses]

Nimm einfach ne ordentliche Firewall, deren Hauptaufgabe es sein sollte den Computer zu schützen und keine Panik zu verbreiten...

Sinnvoll wäre die Meldung, wenn die Firewall dazu noch schreiben würde, wer den ARP noch so beantwortet hat bzw. das ganze vergessen würde, wenn die Antwort wirklich unaufgefordert kommt... und das mit "Schaden zufügen" ist auch ne super Idee... Da würd ich gern mal wissen, was die sich da aus den Fingern saugen...

In dem Netzwerk von dem die Rede ist gibt es nur Dich und den Gateway, alle anderen Rechner sind von dir aus nicht erreichbar bzw. können dich nicht erreichen. Oder hast du noch andere Rechner in deinem Netzwerk? Das solche Pakete absichtlich vom Gateway geschickt werden halte ich für unwahrscheinlich... Aber wenn du an deiner MAC Adresse rumfummelst, kann sowas passieren. Warum änderst du eigentlich deine MAC Adresse? Und was genau versprichst du dir von Xarp? MAC-Spoofing funktioniert nur im lokalen Netzwerk... also alles, was an deiner Seite vom Modem/Router hängt + ggf. der Gateway bei UM.

 

[pennywise]

Lieber Moses....

die Firewall ist schon anständig...zumahl diese gekauft ist und nicht FREEWARE!

Das einzelene Walls mal absoluten quatsch von sich geben löst nicht gerade Panik bei mir aus :zwinker:

Meine MAC habe ich nicht verändert, weder noch ein Programm.

Diese Phänomen tritt erst seit Beginn diesen Monats auf, genauer gesagt seit dem UM 1 Tag lang nicht funzte!

Seltsam finde ich...das der Antwortende bzw sendende Remote auch seine IP ändert!

Jetzt gerade nach Verbindungsaufbau von 62.143.60.1 nach 62.143.17.1 :kratz:

Was wäre, wenn jemand hier im Haus seit kurzem bei UM ist?


*edit*

Bei Arcor hatte ich das auch mal...nach nem Anruf dies zu unterlassen, war das Prob behoben :hammer:

 

[Bastler]

Was wäre, wenn jemand hier im Haus seit kurzem bei UM ist?

Der wäre rein Netzwerkmäßig genau so weit weg oder so nah dran wie jeder andere im gleichen Ring, das ist also volkommene irrelevant.

 

[pennywise]

Was wäre, wenn jemand hier im Haus seit kurzem bei UM ist?

Der wäre rein Netzwerkmäßig genau so weit weg oder so nah dran wie jeder andere im gleichen Ring, das ist also volkommene irrelevant.

Und wenn er die gleiche MAC hätte, was ich mir gar nicht vorstellen kann :kratz:

 

[Bastler]

Ich wollte damit bloß sagen, ob im gleichen Haus noch ein UM Kunde ist oder im gleichen Ring kommt letztendlich aus Gleiche raus. Und die Wahrscheinlichkeit, dass im gleichen Ring noch andere Kunden sind ist ziemlich hoch, auch wenn UM noch nicht besonders verbeitet ist.
Gleiche MAC geht nicht, außer man spielt selbst dran rum, anbsonsten sind die Adressen ja einmalig. Ich bin mir jetzt nicht sicher, aber ich glaube die HFC-MAC (nicht die normale MAC) kann man gar nicht ändern.

 

[Moses]

Soweit ich den DOCSIS Standard bis jetzt verstanden hab, sind die Verbindungen der Teilnehme vom Modem bis zum Dingsda (das Ding auf der anderen Seite, vergesse immer wie das heißt, nenne wir es mal "Kopfstation") verschlüsselt, es kann also eigentlich nicht Traffic von denen zu dir gelangen und umgekehrt... es könnte sein, dass jemand im UM Netz was an die falsche MAC-Adresse schickt... oder das zwei PCs auf UM Seite die gleiche IP haben, an die dein Rechner was schicken will... allerdings ist das ohne weitere Informationen leider nicht so ganz klar..

Hat dein PC die IP erreichen wollen (z.B. weil die IP dein Standard Gateway ist)? ARP ist das Protokoll was nötig ist um die MAC Adresse für eine IP zu finden, also im lokalen Netzwerk den Rechner mit der IP zu finden und ihm das Paket zu senden. Wenn man so will das "Routing" auf dem letzten Meter. Wenn sich dabei die IP ändert, ist das vollkommen irrelevant, da es zwei verschiedene Anfragen waren. Solange für jede IP nur eine MAC Adresse kommt, kann einem das vollkommen egal sein, egal ob das ganze angefragt war oder nicht. Ein wirklicher Angriff ist das nur, wenn für eine IP Adresse eine Antwort von zwei verschiedenen MAC Adressen kommt. Dann kann man vermuten, dass einer der Rechner betrügt und deinen Datenverkehr haben will. Oder sie sind einfach nur falsch konfiguriert und haben beide die gleiche IP. Aber solange die Firewall das nicht genau so ausspuckt, taugt sie nicht (also quasi: "Für IP X ARP Antworten von MAC A und MAC B bekommen -> erlaubte PANIK"). Entweder, weil sie nicht die nötigen Informationen liefert, oder, weil sie unnötig Panik verursacht und du hättest von diesem vermeintlichen "Angriff" nie etwas mitbekommen, wenn du eine vernünftige Firewall genutzt hättest.

Xarp gibt mir auch immer infos zur änderung meiner MAC

Den Satz von dir verstehe ich im übrigen immer noch nicht. Was soll dir Xarp helfen und warum sollte es dir Infos zur Änderung deiner MAC geben? Du hast doch behauptet, dass du deine MAC Adresse nicht änderst? Änderst du sie jetzt doch? MAC Adressen ändern sich nicht. Zumindest sollten sie das nicht. Dass man sie von Hand ändern kann, ist ein großes Ärgernis für jeden, der sich mit Netzwerken beschäftigt... was sich ändern darf (und zum Teil soll) sind IP Adressen. Gibt es hier vielleich Begriffsverwirrungen? Wenn du möchstest kann ich dir das gerne genauer erläutern. Dann verstehst du vielleicht auch die Aussagen deiner Firewall etwas besser.

Das eine Firewall bezahlt wurde, heißt noch lnage nicht, dass die mehr taugt... z.B. die Norton Internet Security Dings kostet richtig Knete und ist der schlimmste Rammsch, den ich je gesehen hab.... die beste Firewall, die es im Moment für PCs gibt, ist die im Betriebssystem integrierte. Bei Linux gibt's die schon ewig, kostet zwar etwas Nerven bei der Konfiguration, aber wenn man weiß, was man will, gibt es nichts besseres. Änliches gilt für die in Windows seit Windows XP SP2 integrierte Firewall. Bei den sonstigen Firewalls, die ich bis jetzt in Aktion erleben durfte, hat man eher das Gefühl, dass sie grundsätzlich nur Panik verursachen wollen/sollen. Man muss ja irgendwie begründen, dass man den System-Ausbremser auch beim nächsten mal installiert/kauft. Da wird in schönen bunten Statistiken jedes blöde Paket erhoben und wenn man will bekommt man auch bei jedem Paket eine Warnung, ach wie böse man doch gerade wieder angegriffen wurde und wie die ach so tolle Firewall das verhindert hat. Natürlich wird auch jedes Paket in die Statistik der verhinderten Angriffe aufgenommen. Ob sich jetzt auf dem System außer der Firewall sonst noch irgendwer für das Paket interessiert hätte, bleibt dabei vollkommen unberücksichtig. Solange da, wo angegriffen werden soll, keiner lauscht (insbesondere keine dumme Firewall, die ebenfalls Sicherheitslücken enthalten können und die meisten tun das wahrscheinlich sogar!), ist der vermeintliche Angriff fehlgeschlagen. => 99% der Informationen, die eine der sogenannten "Desktop Firewalls" ausgibt, sind vollkommen irrelevant. Wenn nicht die passende Backdor zu einem Paket installiert ist, darf man das Paket einfach ignorieren... trotzdem bekommt man von der Firewall vorgegaukelt, dass sie eine "Backdor Attacke" verhindert hätte. Besser als jede Firewall ist es Sicherheitsupdates so schnell wie möglich zu installieren.

 

[sirsaint]

Also erstens, die OS internen Firewalls von Microsoft Systemen sind alles andere als gut oder sicher !
Gleiche gilt auch für 99% der Personal Firewalls.

Hier der Hinweis zu Fefe`s Website über solche Firewalls :

http://www.fefe.de/pffaq/

Beste Solution ist, Hardware Router mit Linux System oder Linux-Router (Rechner) + ipfilter/tables or whatever.

Zudem sollte man wie schon die oben links "beworbene" Website auf ihrer CD auch auf der Seite sagt, den Traffic höchstmöglich annonymisieren und verschlüsseln.

Gruss

SirSaint

 

[Moses]

Naja, lass mal die philosophischen Ansätze raus... ob jetzt Opensource oder Closesource sicherer ist, ist nämlich eine philosophische Frage auf die es keine abschließende Antwort gibt und geben wird (ähnlich wie "Was ist der Sinn des Lebens?").

Außerdem ist auch eine Linux Firewall alles andere als sicher, wenn der User nicht weiß, wie er sie konfigurieren soll.... da sind die Desktop Firewalls zumindest in den meisten Fällen schon etwas besser, auch wenn sie viel zu viel Panik verbreiten. Die praktikabelste und beste Lösung wird für die meisten normalen User ein NAT Router sein.

 

[verwirrt]

die Firewall ist schon anständig...zumahl diese gekauft ist und nicht FREEWARE!

Zu dem Thema übrings noch ein interessantes, wenn auch altes, Posting.
http://www.hackerboard.de/thread.php?threadid=1138
Und natürlich, wenn eine Software gekauft wurde, muss die zwingend "top" sein.

Wenn ich den Back-Trace von Sygate nutze bekome ich folgendes:

Das ist nicht von Sygate sondern von RIPE, wo Sygate einfach drauf zugreif. Welch' gloreiche Idee, das dann unter "backtrace" zu vermarkten. Da pack ich mir schon fast am Kopf.

Beste Solution ist, Hardware Router mit Linux System oder Linux-Router (Rechner) + ipfilter/tables or whatever.

In der Tat, eine moegliche Loesung.
Ob das nun besser ist als ein eventuelles Closed-Source Programm lassen wir einfach dahin gestellt.

Folgende Punkte die grob zusammen fassen, was dagegen spricht:

• Konfiguration -> für Einsteiger meist nur umständlich zu realisieren
• Wartung (Sicherheitslücken in z.B. SSH kommen immer wieder vor
• Sicherheitslücken im Kernel ggf. auch
• Kosten -> Ein PC Router frisst i.d.R. mehr Strom als ein NAT Router

In diesem Sinn - meine 5 Cents zu dem Thema.

Gruß,
verwirrt. :hüpf: