ARP Cache Poisoning Angriff Eset

**z3u5** · 16.10.2023, 12:31

Hallo zusammen,

zuerst einmal weiß ich nicht, ob ich hier richtig bin. So ganz habe ich nicht die passende Rubrik gefunden, in die der Thread gehört.

Ich bin echt irritiert und weiß nicht mehr was ich glauben soll.

Zur Ausgangslage: Vor 2 Tagen habe ich einen neuen Switch verbaut. Hier habe ich auch etwas an der Verkabelung des Receivers geändert.

Möglicherweise hat ESET auch ein Update gemacht, jedoch sind die google Ergebnisse zu ARP Cache Poisoning Angriffen Eset zum Teil auch schon älter.

Jedenfalls wird mir seit den oben genannten Veränderungen ständig gesagt, dass so ein ARP Angriff stattgefunden hat.

Quelle ist der AX 51 4K und Ziel angeblich auch, nur mit anderer Mac Adresse.

Nach etwas Recherche habe ich mir Xarp heruntergeladen.

Hier wird es mir etwas anders angezeigt:

Source IP ist immer mein Receiver und Empfänger meine Haupt Fritzbox (Gateway)

Komischerweise wechselt der Receiver immer zwischen 2 MAC Adressen

Direction ist immer in und manchmal steht bei type request und manchmal replay.

Also wird wohl was angefragt und geantwortet.

Jetzt weiß ich garnicht was das sein kann, bzw. was da passiert.

Eigentlich denke ich, dass es von irgendeinem Plugin sein könnte, aber auf der anderen Seite bin ich beunruhigt, weil ich den Wechsel der MAC Adresse auch komisch finde.

Mit arp -a wird mir die IP des AX 51 4k nur einmal angezeigt.

Ich hoffe Ihr könnt mir helfen.

VG

z3u5

**Miese.Ratte** · 16.10.2023, 16:02

Das klingt richtig sch***! Dein Receiver scheint die eigentlich an Fritzchen geleitete Pakete haben zu wollen. Mitlesen ist so schön.

Erster Test:
AX-Box abschalten oder Netzwerkkabel raus. Ist der Spuk dann vorbei?

Wenn ja:
Box neu aufsetzen und einmal tief über die installierten Plugins und der Seriösität ihrer Quellen nachdenken.

**z3u5** · 16.10.2023, 17:08

Wenn der Strom vom Gerät weg ist, bekomme ich diese Meldung nicht mehr.

Komischerweise habe ich seit Ewigkeiten kein Plugin mehr installiert und bis Vorgestern auch noch nie so eine Meldung erhalten.

Das ist das Komische an der ganzen Geschichte.

Eine doppelte Mac Adresse finde ich auch nicht über den Befehl arp -a in der Eingabeaufforderung meines Windows PC´s.

So wie ich das heute gelesen habe, sollte das der Fall sein bei dieser Art der Attacke.

- - - - - - - - - -

ps.: Auf der Box selbst wird mir eine Mac Adresse angezeigt.

Komisch, dass mir Eset und Xarp sagen, dass die Box zwischen 2 Mac Adressen wechselt.

Auch komisch finden ich den zeitlichen Zusammenhang mit den Änderungen am Netzwerk.

**z3u5** · 16.10.2023, 18:01

Jetzt ist mir noch etwas aufgefallen. Die Ziel Mac Adresse ist die meines PC´s

- - - - - - - - - -

Ich habe die 2. MAC Adresse auf die die Box immer gewechselt ist im Netzwerk bei der Box eingetragen und es gibt keine Meldung mehr.

Weder von Eset noch von Xarp.

In Xarp steht jetzt auch no arp attacks.

Ich frage mich jedoch immer noch, warum die Box irgendwelche Daten an meinen PC senden wollte. ?

Weil hier Eset ausgeführt wird ?

**Miese.Ratte** · 17.10.2023, 08:55

Zum Verständnis:
Im lokalen Netzwerk werden Ethernetpakete über MAC-Adressen zugestellt. Vor dem erstmaligen Senden fragen die Clients: Welche MAC gehört zur IP-Adresse x.x.x.x? Die erhaltene Antwort wird im Arp-Cache eingetragen und das Paket an die mitgeteilte MAC gesendet. Wenn Clients ungefragt Zuordnungen von IP zu MAC mitgeteilt bekommen, tragen sie diese ebenfalls in ihren Arp-Cache ein. Genau dieser Fakt wird beim Arp-Poisening ausgenutzt.

Wenn Eve den Netzwerkverkehr mithören will tut sie folgendes:
sage Bob: Du erreichst Alice über diese MAC (die von Eve).
sage Alice: Du erreichst Bob über diese MAC (die von Eve).

Nun kann sie den kompletten Netzwerkverkehr zwischen Alice und Bob mitlesen. Das nennt man Arp-Poisening.

Wenn jemand bei dir mit MAC-Adressen herumspielt, solltest du das nicht auf die leichte Schulter nehmen!

**z3u5** · 17.10.2023, 12:58

Wie das mit dem ARP-Poisening funktioniert hatte ich verstanden.

Ich war eigentlich sehr froh, dass ich jetzt keine Fehlermeldungen mehr bekomme, ABER jetzt ist leider wieder etwas komisches aufgefallen.

In der Alexa app steht bei dem neusten Echo dot (fast zeitlich mit neuen Switch angeschlossen) genau die MAC Adresse, die gestern die ganze Zeit die Box haben wollte.

Die IP vom Echo hat gestern bei Xarp oder Eset nirgends gestanden.

Meine Vermutung ist, dass der neue Switch falsche Zuordnungen bei den Mac Adressen macht.

Ich weiß nur nicht, wie ich das ändern kann.

Vielleicht muss der Thread hier in die Computer Netzwerk Ecke ?

- - - - - - - - - -

Hierzu sei zu sagen, dass der eine Echo dot mit einem Repeater verbunden ist.

**Miese.Ratte** · 17.10.2023, 14:28

Zitat von z3u5

Vielleicht muss der Thread hier in die Computer Netzwerk Ecke ?

Wo du das so sagst ...

shifted

von Miese.Ratte

**z3u5** · 19.10.2023, 09:19

Ich denke, dass ich den Fehler gefunden habe.

Ein neuer Echo Dot hatte immer wieder Aussetzer. In der App stand genau die MAC Adresse, wohin der Receiver immer wechseln wollte.

Also habe ich dem Receiver wieder seine alte MAC Adresse zugewiesen und die IP Adresse, die auch der Box eigentlich immer schon statisch war, im Router auch als statisch festgelegt.

Siehe da, keine Meldungen mehr.

Der Echo hat jetzt die richtige MAC Adresse und läuft ohne Probleme.

Sehr komisch das Ganze.