Steeds 1 mac-blocked HTC telefoon op mijn tp-link router

Wat is vreemd? Het blokkeren van een MAC-adres (op verschillende plaatsen) of het onbekende device in je netwerk?

Het blokkeren van een MAC-adres kan bij die router inderdaad specifiek voor 2,4 GHz en/of 5 GHz. Blokkering via Security houdt in dat dat MAC-adres de router (admin) niet kan bereiken. Met de vierde plaats bedoel je misschien de Bandwidth Control.

Een Google op "htc k2ul" brengt me op de custom roms bij XDA. Mogelijk dat je buurman bezig is...?
Misschien tijd om je wachtwoorden te veranderen.

[ Voor 0% gewijzigd door Miyamoto op 27-10-2013 13:31 . Reden: typo ]

Toevallig een windows 8 pc in je netwerk? Ik had iets soortgelijks.

"Spook smartphones" in netwerk

Dit is met mijn netgear router ook.
En ook alleen Android toestellen tonen zich op deze manier in het Windows Netwerkoverzicht .
Het vreemdste is nog dat géén enkel Android toestel ooit op ons wifi netwerk heeft gezeten, slechts Apple en Windows.

Verdomd, nu weer:
https://db.tt/mQhaA4NY

Hmm, niet de enige...

[ Voor 26% gewijzigd door jeroen3 op 27-10-2013 13:59 . Reden: Linkje toegevoegd ]

Voor zover ik in je screenshots zie, zie je die apparaten alleen in Windows? Of 'ziet' de router ze ook?

Blokkeren heeft in ieder geval geen zin. Als iemand daadwerkelijk op je netwerk probeert in te breken, zal een blokkade op MAC-adres 'm niet tegenhouden.

Ik hou 't op een oversight in het uPNP protocol, waarbij het kennelijk mogelijk is om alvast een SSDP discovery frame te versturen, zonder dat er een IP-adres is uitgedeeld. In alle - hier op tweakers genoemde - gevallen heeft het device in kwestie namelijk geen IP-adres

Kan dit misschien met WPS te maken hebben? Dat is onmogelijk om uit te schakelen op veel routers.

[ Voor 3% gewijzigd door jeroen3 op 27-10-2013 22:08 ]

notsonewbie schreef op zondag 27 oktober 2013 @ 15:29:
[...]

Ja, heb ik, zit ik nu op te typen.
Echter ook die hangt achter de router dus ik snap niet waar je daar mee heen wil.

http://www.eightforums.co...d-my-network-why-how.html

Om een of andere reden gebeurd dit alleen in windows 8. Ik heb toen actief al het netwerkverkeer en clients van en naar mijn router, zowel via wifi als bedraad gemonitord. En er is nooit, maar dan ook echt nooit een client met dat mac adres verbonden geweest via mijn router. Wel zag ik een aantal wazige netwerk broadcasts vanuit mijn windows 8 pc. Vandaar. Probeer ook eens upnp uit te zetten.

Ik heb geen gedetailleerde kennis van het opzetten van een Wi-Fi-sessie, maar is het niet mogelijk dat de telefoon heel af en toe een broadcast* doet van een Wi-Fi-frame met daarin zijn MAC-adres. Ik kan me voorstellen dat ook deze broadcasts worden opgevangen door je laptop, ondanks dat de bewuste telefoon geen onderdeel uitmaakt van je netwerk worden immers uitgezonden Wi-Fi pakketten wel opgevangen door apparaten in je eigen netwerk.

Wie zegt eigenlijk dat deze telefoon via wifi op je netwerk zit? Je ziet hem alleen op je PC, kan het niet zijn dat dat via bluetooth gaat ofzo? Dat zou ook verklaren waarom een mac-blokkade op je router niets uithaalt.

Xander schreef op maandag 28 oktober 2013 @ 17:31:
Wie zegt eigenlijk dat deze telefoon via wifi op je netwerk zit? Je ziet hem alleen op je PC, kan het niet zijn dat dat via bluetooth gaat ofzo? Dat zou ook verklaren waarom een mac-blokkade op je router niets uithaalt.

Denk zelf ook dat het bluetooth is, helaas werkt de bluetooth intergratie van lenovo nog niet zo goed op win8 waardoor ik niet zo veel kan.

Als ik bluetooth overal uitschakel incl. apparaatbeheer dan krijg ik alleen nog een device te zien en mac.
Maar geen naam of andere kenmerken als type.

Het komt niet door bluetooth, want dat heb ik niet.

notsonewbie schreef op maandag 28 oktober 2013 @ 16:49:
Gisteren WPS disabled.
Vandaag is 't ie er toch weer, zelfde (geblocked!!) mac adres als eerder.
Een htc desire met de naam 'protou'.

@Biersteker upnp disablen mocht ook niet baten.

Precies die desire met naam protou had ik hier ook in het netwerk overzicht.

Brahiewahiewa schreef op zondag 27 oktober 2013 @ 16:10:
Ik hou 't op een oversight in het uPNP protocol, waarbij het kennelijk mogelijk is om alvast een SSDP discovery frame te versturen, zonder dat er een IP-adres is uitgedeeld. In alle - hier op tweakers genoemde - gevallen heeft het device in kwestie namelijk geen IP-adres

Die vlieger gaat natuurlijk niet op als TS zijn netwerk beveiligd heeft, maar gezien de symptomen zit je met uPNP wel goed.

Enige wat je hier verder nog kunt doen om het te debuggen is traffic capturen (Wireshark). In het netwerk zelf en eventueel een wireless interface in monitor mode om proximity uit te sluiten.

Het enige dat ik kan bedenken is dat er van de WAN-kant van de modem wat doorlekt. Hetzelfde probleem had iemand eerder met een Ziggomodem icm. WifiSpots..

Het viel mij vanmorgen op dat het WPS lampje knipperde. WPS staat overigens uitgeschakeld.
Dit zaakje stinkt, heeft Google een lek gevonden in wps en exploiteert het dit lek massaal via Android?

Sluit me aan bij wat al eerder is gezegd: weet je zeker dat de mobiel die in je log verschijnt niet simpelweg niet z'n naam 'even broadcast' terwijl die op zoek is naar z'n thuisnetwerk? Als je buren een geroote HTC hebben, dan heb je daar een goede kans op, niet waar? Redelijk wat mobiele telefoons gooien ook af en toe de verbinding er uit om energie te besparen & verbinden even later weer.

Er schoten me hier nog wat te binnen:
• ik meen me te herinneren, maar dat is van een tijdje her, dat je een mobiel of ander apparaat als 'binnen het netwerk' kunt zien in Windows zodra een toestel zich aan meldt, ook al gebruikt het een foutief password. Dan wordt het een soortement 'hangende sessie', terwijl het toestel eigenlijk helemaal niet het netwerk op is geweest of ook maar kan. Heb je misschien een vrij algemeen netwerk ssid? Iets als het standaard ssid van de fabrikant? Een naam als Linksys of TP-Link zal veel voorkomen, dus als iemand met een geroote HTC langsloopt, dan kan die mobiel denken met het thuisnetwerk te maken te hebben en een inlog poging doen.

Minder voor de hand liggend, maar misschien iets:
• Weezer-DC in "Steeds 1 mac-blocked HTC telefoon op mijn tp-link router" sommige IBM en Lenovo computers hebben de aanduiding K2, K2u of K2ul in de naam. Is het niet mogelijk dat simpelweg de laptop of een of andere manier in de logs als zodanig opduikt? Dus niet bijv. Lenovo Thinkpad W530, maar de W530 N1K2AMH, waarbij alleen het laatste deel van de naam wordt opgepikt door de router?
• K2ul is ook een referentie, zoals rooot al zei, voor het K2 model van HTC. K2 was de code naam tijdens de ontwikkeling van het toestel dat we nu kennen als de HTC One SV. De UL staat daarbij voor de Umts en Lte ondersteunende versie daarvan. De K2 is ook lange tijd bekend geweest in het geruchten circuit als het 'onbekende toestel'. Dezelfde kernel kan ook bij een deel van de andere HTC toestellen gebruikt worden.
• protou of eigenlijk ProtU is de naam die vaak wordt gegeven aan nog niet officiële kernel updates door de mod-community. Unofficial Prototype versie zogezegd
• het beheer van de mac adressen die geband zijn, wordt voor het guest network en de standaard wifi los van elkaar geregeld met de generatie TP-link die jij hebt, althans bij mijn weten (@notsonewbie). Mocht dat bij jouw router niet zo zijn, dan heb je denk ik de oude firmware.
Er is een firmware update beschikbaar voor AC1750 die "Added the support of MAC filtering to Guest Network;"(quote TP-Link website) heeft als wijziging. http://nl.tp-link.com/sup...rcher+C7&version=V1#tbl_j
Misschien dat je daar wat aan hebt.

Anders kun je altijd nog een keertje (na de firmware update) de setup opnieuw doorlopen en de ssid broadcasting op verborgen zetten, dat scheelt een boel in het aantal onbekende toestellen dat jouw netwerk detecteert en met de eigen broadcast mogelijk een regel in de logs geeft.
En simpelweg alle verbindingen weigeren, behalve je eigen apparaten die op mac adres whitelisted zijn. Maar goed, daar heb je vast al aan gedacht.

Tot slot, wie weet is je netwerk wel alvast aan Halloween begonnen met z'n eigen spookjes

Bluepenguin schreef op dinsdag 29 oktober 2013 @ 01:22:
Minder voor de hand liggend, maar misschien iets:
• Weezer-DC in "Steeds 1 mac-blocked HTC telefoon op mijn tp-link router" sommige IBM en Lenovo computers hebben de aanduiding K2, K2u of K2ul in de naam. Is het niet mogelijk dat simpelweg de laptop of een of andere manier in de logs als zodanig opduikt? Dus niet bijv. Lenovo Thinkpad W530, maar de W530 N1K2AMH, waarbij alleen het laatste deel van de naam wordt opgepikt door de router?
• protou of eigenlijk ProtU is de naam die vaak wordt gegeven aan nog niet officiële kernel updates door de mod-community. Unofficial Prototype versie zogezegd

Nee het is zeker een telefoon of iets wat zich als zodanig voordoet
Want als ik de mac adres opzocht hoorde dit ook weer bij het merk telefoon.

Maar op de eerder gelinkte pagina's http://www.eightforums.co...my-network-why-how-7.html worden de namen ook aan roms herlied,

Arie- schreef op maandag 28 oktober 2013 @ 17:27:
Ik heb geen gedetailleerde kennis van het opzetten van een Wi-Fi-sessie, maar is het niet mogelijk dat de telefoon heel af en toe een broadcast* doet van een Wi-Fi-frame met daarin zijn MAC-adres. Ik kan me voorstellen dat ook deze broadcasts worden opgevangen door je laptop, ondanks dat de bewuste telefoon geen onderdeel uitmaakt van je netwerk worden immers uitgezonden Wi-Fi pakketten wel opgevangen door apparaten in je eigen netwerk.

Dit lijkt mij het meest waarschijnlijk.

Er zijn namelijk een aantal stappen die je moet doorlopen om een sessie op te kunnen zetten:

1. Fysieke link (transport medium in dit geval RF, a.k.a. Wifi)
2. MAC uitwisseling
3. IP verkrijgen

etc. etc.

Een aantal mensen zal opvallen dat dit ongeveer het OSI model is (nee, echt ). Ik denk dat het tussen laag2 en 3 gaat en dat je router wel laag2 ziet, maar laag3 vervolgens weigert omdat het MAC filtering doet.

Ik zou me er niet te druk om maken en anders misschien iets met Wireshark gaan doen, maar dat is wel hogere wiskunde als je daar niet geregeld gebruik van maakt

Bluepenguin schreef op dinsdag 29 oktober 2013 @ 01:22:
...Anders kun je altijd nog een keertje (na de firmware update) de setup opnieuw doorlopen en de ssid broadcasting op verborgen zetten, dat scheelt een boel in het aantal onbekende toestellen dat jouw netwerk detecteert en met de eigen broadcast mogelijk een regel in de logs geeft...

SSID broadcasting uitzetten is GEEN beveiligingsmaatregel. Sterker nog: het is een beveiligingsrisico.

Het verplicht al jouw WiFi devices namelijk om actief op zoek te gaan naar jouw netwerk.
Dat doen ze door regelmatig jouw SSID te broadcasten. En als er iemand/iets reageert stuurt-ie gewoon z'n WPA key als response.

Overal te wereld draaien ondertussen Kismet distributies, speciaal voor dit doel: het aanleggen van een database met SSID/WPA combinaties

@notsonewbie
Sowieso altijd WPA2 en AES gebruiken. Is veiliger en volgens sommigen sneller.

[ Voor 28% gewijzigd door Verwijderd op 29-10-2013 17:05 ]

Brahiewahiewa schreef op dinsdag 29 oktober 2013 @ 16:02:
[...]

SSID broadcasting uitzetten is GEEN beveiligingsmaatregel.

Zeker, het zou alleen wel kunnen voorkomen dat een onbekend device probeert te connecten, ergo een logmelding veroorzaakt. In dit geval vooral gezegd omdat je zo misschien kunt kijken of het inderdaad gaat om toestellen die alleen maar langs komen en niet op het netwerk zelf kunnen komen. SSID broadcasting uit is nooit een beveiligingsding geweest op zichzelf

Sterker nog: het is een beveiligingsrisico.

Het verplicht al jouw WiFi devices namelijk om actief op zoek te gaan naar jouw netwerk.
Dat doen ze door regelmatig jouw SSID te broadcasten. En als er iemand/iets reageert stuurt-ie gewoon z'n WPA key als response.

Wat eenvoudig te beperken is door goed op het wifi gebruik van je apparaten te letten. Altijd de wifi van de mobiel/laptop uit na gebruik en niet zomaar in een café of wegrestaurant gaan surfen. Beide zijn in de basis ook gewoon beveiligingsrisico's en batterij slurpend. En anders heb je nog het onlangs voor Android verschenen Smarter Wi-fi Manager van Kismet, als je op een dergelijke tool wilt vertrouwen voor dit soort zaken.

Overal te wereld draaien ondertussen Kismet distributies, speciaal voor dit doel: het aanleggen van een database met SSID/WPA combinaties

Kans dat je buurman die draait is nogal klein niet? Komt er nog de bijzonder kleine kans bij dat je WPA2 key van voldoende lengte en met de juiste tekens gebroken wordt. En als je af en toe het wachtwoord verandert zou ik me als particulier geen zorgen maken. Is je de buurman kwaadaardig of net even te handig met rondklooien op z'n pc, dan ben je wel de klos, omdat een key te reproduceren valt.
En dat is niet om risico's te bagatelliseren, maar de kansen hierop zijn nou eenmaal erg klein, niet waar? Tenzij je heel dicht bij bijv. een middelbare school of NS station woont misschien.

Maargoed, dat begint met die laastste zinnen deels richting offtopic te raken

Bluepenguin schreef op dinsdag 29 oktober 2013 @ 17:44:In dit geval vooral gezegd omdat je zo misschien kunt kijken of het inderdaad gaat om toestellen die alleen maar langs komen en niet op het netwerk zelf kunnen komen.

Als TS zijn AP met een fatsoenlijke WPA2 key beveiligd heeft, en slechts een enkel netwerk heeft dan kan de telefoon niet via WLAN verbonden zijn.

Dus dan kan het eigenlijk alleen maar over de WAN-side van de router komen. UPnP over WAN is bewezen mogelijk bij brakke routers, dus dat lijkt me al een stuk logischer. Of dat ook geldt voor SSDP broadcasts weet ik niet (die zijn immers multicast)...

Misschien kun je adhv. een traffic capture iets meer zeggen - bijvoorbeeld een ttl field dat de hop count naar de sender verraadt?

Zoals gewoolijk is het geen bug, maar een feature:

Oaquasis schreef op zondag 29 december 2013 @ 11:16:
...Go to details and group the items according to discovery method, then check the rogue device. Is it WCN (Windows Connect Now)? This is Microsoft's version of WPS protocol. It's supposed to automatically configure devices on your wi-fi network, but will detect a nearby extra-network device and list it under your network infrastructure. As long as you're using a strong security key for your wlan and disable WPS on your router, you're in no imminent danger of being compromised. In fact, it's your neighbor's device showing up that is vulnerable. WPS is inherently unsafe (the PIN can be hacked fairly easily) and it's advised that you should disable WPS (or similar auto-setup feature) on your own router/devices. In the meantime, open Services and disable WCNCSVC (Windows Connect Now) and see if the rogue device disappears. You don't need this service and can always configure things the old-fashioned way....

Zet bij wijze van test eens wireless uit op je router en blijf controleren of de spook-clients alsnog verschijnen in Windows

Ik merk trouwens dat dit alleen gebeurd met W8 (ook even een google query laat zien dat dit alleen gebeurd met W8 gebruikers)
Dus ik denk niet dat het direct met de router te maken heeft. Ook dat het netwerk gekraakt is lijkt me sterk.

edit: van een andere forum

Hi Guys,

Update for you after a hard slog out with Windows 8

Disable the 'HomeGroup Provider' Service in Administrator Tools in Control Panel and let me know your findings.

If you make use of the HomeGroup then this will be an issue but if you don't use it, it should stop these ghost devices appearing.

I have no use for the HomeGroup but I am swaying on the logic there is a bug in the service somewhere.

source: http://www.eightforums.co...my-network-why-how-5.html

nog een edit:

I unplugged everything from the router except the laptop. Wireless is off on the router.
After a few refreshes of the network view I got the 'Blaze' device showing again. Just me, the router and that device
Wireless is off on the laptop as well.
I give up.

Lijkt dus op een bug in Windows 8

[ Voor 72% gewijzigd door looc op 17-01-2014 09:58 ]

looc schreef op vrijdag 17 januari 2014 @ 09:54:
[...]Lijkt dus op een bug in Windows 8

Nee, 't is een feature ;o) Iemand bij MS heeft doelbewust die code er in geprakt.
Dat jij, en vele anderen en last van hebben is niet relevant.

Anyway, op mijn W8 is 't toch ècht weg, nadat ik de "Windows Connect Now" service gedisabled heb.
Alleen stoppen is niet genoeg; Windows is eigenwijs genoeg om 'm gewoon weer te herstarten

notsonewbie schreef op donderdag 16 januari 2014 @ 22:57:
[...]

N.v.t.

Wifi is benodigd.
Dus al komt er misschien geen ghost met wifi uit...
Wifi staat vaak genoeg aan en dan is ie er (-ook)

Het doel van de test is om te bepalen of de oorzaak in het netwerk zit of juist in Windows, als één van de twee uit kan sluiten is het makkelijker om de oorzaak te vinden