ARP Cache poisoning attck & Dubbel I.p. in netwerk.

donderdag 1 juni 2017 17:31

Acties:

0 Henk 'm!

Topicstarter

Eset antivirus geeft steeds opnieuw notificatie's van 2 ip adressen.
'Network threat blocked
ARP Cache poisoning'
En
'Network event blocked
Duplicate ip adresses detected in network'
Wil veilig dit probleem oplossen maar begrijp het zelf niet goed...

Relevante software en hardware die ik gebruik
Telenet router naar oude router als switch en aangesloten aan 2 desktop's en ps4
Eset smart security antivirus
Win 7 32bit en win 10 64bit OS
op het netwerk via wifi
2 tablet's 2 laptops 1 desktop 1 aio netwerk printer/scanner/fax en 3 gsm's
2 digicorders via powerline's

Wat ik al gevonden of geprobeerd heb
Ben iets tegen gekomen dat de digicorder's van telenet dezelfde meldingen heeft veroorzaakt bij andere mensen.
De 2 apparaten met hetzelfde ip adres dat de antivirus toont worden beide getoond als netwerkapparaat van fabriekant osmosys model L37XTLN wat de 2 digicorder's zouden zijn.
Deze hebben beide een verschillend ip adres 206 en 220.

Alvast bedankt wie mij kan helpen!

donderdag 1 juni 2017 21:42

Acties:

+1 Henk 'm!

Squ1zZy

Wat staat er in je arp cache?

arp -a

vrijdag 2 juni 2017 13:23

Acties:

0 Henk 'm!

Lagoyaz

Topicstarter

Squ1zZy schreef op donderdag 1 juni 2017 @ 21:42:
Wat staat er in je arp cache?

arp -a

Mag dit hier gewoon volledig posten?
Ben hier een volledige noob in die beseft dat het tijd wordt dat ik me hierin is beetje verdiep...

vrijdag 2 juni 2017 13:38

Acties:

+2 Henk 'm!

MrSenne

Lagoyaz schreef op vrijdag 2 juni 2017 @ 13:23:
[...]

Mag dit hier gewoon volledig posten?
Ben hier een volledige noob in die beseft dat het tijd wordt dat ik me hierin is beetje verdiep...

Ja, je kan de hele output van dat commando posten zonder beveiligingsissues.

Even een snelle gok, maar je hebt toevallig geen 2 routers in je netwerk? Die beiden als DHCP server fungeren?

Edit:

Lagoyaz schreef op donderdag 1 juni 2017 @ 17:31:
Telenet router naar oude router als switch en aangesloten aan 2 desktop's en ps4

Heb je deze oude router gewoon ingeplugd, of heb je ook bepaalde instellingen aangepast zodat hij enkel als switch dienst doet?

[ Voor 27% gewijzigd door MrSenne op 02-06-2017 13:41 ]

vrijdag 2 juni 2017 14:34

Acties:

0 Henk 'm!

Lagoyaz

Topicstarter

Interface: 192.168.1.101 --- 0x7
Internet Address Physical Address Type
192.168.1.1 90-5c-44-6e-63-09 dynamic
192.168.1.100 84-8e-df-74-0e-8f dynamic
192.168.1.122 d8-b6-b7-df-88-fd dynamic
192.168.1.156 94-57-a5-b6-25-2f dynamic
192.168.1.185 d8-b6-b7-df-88-f6 dynamic
192.168.1.206 68-63-59-80-ac-45 dynamic
192.168.1.219 d8-b6-b7-df-88-f7 dynamic
192.168.1.220 68-63-59-cb-d4-d6 dynamic
192.168.1.248 70-9e-29-9d-5c-03 dynamic
192.168.1.253 00-18-e7-e2-ff-40 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-fb static
224.0.0.252 01-00-5e-00-00-fc static
239.255.0.1 01-00-5e-7f-00-01 static
239.255.255.250 01-00-5e-7f-ff-fa static
255.255.255.255 ff-ff-ff-ff-ff-ff static

Router staat hier ondertussen al een jaar of 5/6 op zelfde manier aangesloten als switch normaal gezien.
Destijds mij laten voor helpen door instellingen in de router uit te schakelen en de internet kabel in een uitgang te steken ipv de normale input van de router.

Telenet is hier wel een goeie maand geleden hun router komen vervangen en nieuwe digicorders geinstaleerd, die werkten niet naar behoren volgens mijn ouders en is paar dagen later nog iemand opnieuw langs geweest voor dat probleem op te lossen. Paar dagen daarna ben ik de meldingen beginnen krijgen vandaar ik al aan digicorder dacht.

Alvast al bedankt dat jullie de tijd nemen om mij te helpen!

[ Voor 11% gewijzigd door Lagoyaz op 02-06-2017 14:37 ]

vrijdag 2 juni 2017 16:10

Acties:

0 Henk 'm!

Squ1zZy

MrSenne schreef op vrijdag 2 juni 2017 @ 13:38:
[...]
Heb je deze oude router gewoon ingeplugd, of heb je ook bepaalde instellingen aangepast zodat hij enkel als switch dienst doet?

Dit is geen slechte opmerking

Wat als er 2 devices DHCP leases aan het uitdelen is? De ene keer het IP 192.168.0.10 bijvoorbeeld een het ene device en hetzelfde IP aan een ander device. Dan hebben ze wel een ander MAC address. Dit komt in je cache te staan. Misschien dat ESET dit dan oppakt dat het "vreemd" is dat er hetzelfde IP een ander MAC heeft.

Edit: De melding "dubbel IP" komt dat ook wel overeen.

[ Voor 4% gewijzigd door Squ1zZy op 02-06-2017 16:12 ]

vrijdag 2 juni 2017 16:13

Acties:

0 Henk 'm!

johnkeates

ESET maakt een heleboel herrie om niks, waarschijnlijk gewoon een dubbel IP in je netwerk waardoor twee hosts op ARP requests antwoorden dat zij het IP hebben met hun MAC adres.

Oplossing: herstart alles en kijk welke IP adressen er allemaal in gebruik zijn. Als er apparaten een static IP hebben binnen een DHCP range zou het best kunnen zijn dat een apparaat een lease gekregen heeft voor een IP dat dus gebruikt wordt door je static config.

vrijdag 2 juni 2017 16:15

Acties:

0 Henk 'm!

Squ1zZy

johnkeates schreef op vrijdag 2 juni 2017 @ 16:13:
ESET maakt een heleboel herrie om niks, waarschijnlijk gewoon een dubbel IP in je netwerk waardoor twee hosts op ARP requests antwoorden dat zij het IP hebben met hun MAC adres.

Oplossing: herstart alles en kijk welke IP adressen er allemaal in gebruik zijn. Als er apparaten een static IP hebben binnen een DHCP range zou het best kunnen zijn dat een apparaat een lease gekregen heeft voor een IP dat dus gebruikt wordt door je static config.

Mee eens, maar moet wel verklaarbaar zijn

En dat nog is er wel wat aan de hand.

[ Voor 3% gewijzigd door Squ1zZy op 02-06-2017 16:16 ]

vrijdag 2 juni 2017 16:23

Acties:

0 Henk 'm!

MrSenne

Squ1zZy schreef op vrijdag 2 juni 2017 @ 16:10:
[...]

Dit is geen slechte opmerking

Wat als er 2 devices DHCP leases aan het uitdelen is? De ene keer het IP 192.168.0.10 bijvoorbeeld een het ene device en hetzelfde IP aan een ander device. Dan hebben ze wel een ander MAC address. Dit komt in je cache te staan. Misschien dat ESET dit dan oppakt dat het "vreemd" is dat er hetzelfde IP een ander MAC heeft.

Edit: De melding "dubbel IP" komt dat ook wel overeen.

In de post boven je geeft hij aan dat deze setup al jaren goed werkt, en speciaal zo ingesteld is. Daarmee denk ik ook dat we de oorzaak ergens anders moeten gaan zoeken, aangezien er blijkbaar toch maar 1 DHCP server is.

Een conflict met statische IP's zou kunnen.

vrijdag 2 juni 2017 16:25

Acties:

0 Henk 'm!

Squ1zZy

MrSenne schreef op vrijdag 2 juni 2017 @ 16:23:
[...]

In de post boven je geeft hij aan dat deze setup al jaren goed werkt, en speciaal zo ingesteld is. Daarmee denk ik ook dat we de oorzaak ergens anders moeten gaan zoeken, aangezien er blijkbaar toch maar 1 DHCP server is.

Een conflict met statische IP's zou kunnen.

Klopt

"Telenet is hier wel een goeie maand geleden hun router komen vervangen en nieuwe digicorders geinstaleerd, die werkten niet naar behoren volgens mijn ouders en is paar dagen later nog iemand opnieuw langs geweest voor dat probleem op te lossen."

Misschien zit in de router die pas is vervangen een DHCP optie?

vrijdag 2 juni 2017 16:29

Acties:

0 Henk 'm!

nhanssen

QVL is non-tweakers

Zet het volgende in een notepad document, vervang de naam van het "document.txt" naar document.bat

ipconfig /release
netsh wlan disconnect
netsh interface ip reset
netsh winsock reset
netsh advfirewall reset
netsh branchcache reset
netsh nap reset configuration
nbtstat -R
nbtstat -RR
arp -d *
ipconfig /flushdns
netsh lan reconnect
netsh wlan refresh
ipconfig /registerdns
ipconfig /renew

En dubbelklik hem eens

Kijken of hij dan nog schreeuwt

edit:
Doe dit even op alle windows machines

[ Voor 5% gewijzigd door nhanssen op 02-06-2017 16:33 ]

Spec's PC

vrijdag 2 juni 2017 16:38

Acties:

0 Henk 'm!

MrSenne

Squ1zZy schreef op vrijdag 2 juni 2017 @ 16:25:
[...]

Misschien zit in de router die pas is vervangen een DHCP optie?

Aangezien dat waarschijnlijk zijn enige router/modem is (de andere is puur switch), mag ik hopen dat de DHCP daarvan aan staat, anders krijgt geen enkel apparaat een IP adres.

vrijdag 2 juni 2017 16:44

Acties:

0 Henk 'm!

Anoniem: 63072

MrSenne schreef op vrijdag 2 juni 2017 @ 16:38:
[...]

Aangezien dat waarschijnlijk zijn enige router/modem is (de andere is puur switch), mag ik hopen dat de DHCP daarvan aan staat, anders krijgt geen enkel apparaat een IP adres.

Heeft TS dat gecontroleerd?

Ik begrijp dat hij het heeft laten doen, wellicht heeft hij het verkeerd onthouden/begrepen? Wanneer ik dit voor mensen doe, doe ik het altijd andersom. Het modem gaat in Bridgemodus en de losse router verzorgt de DHCP.

In dat geval zijn er sinds de modem vervanging twee DHCP servers actief.

vrijdag 2 juni 2017 16:45

Acties:

0 Henk 'm!

Squ1zZy

Of het is het IP van de router. Ook de gateway staat in de arp cache.

vrijdag 2 juni 2017 17:10

Acties:

0 Henk 'm!

Lagoyaz

Topicstarter

johnkeates schreef op vrijdag 2 juni 2017 @ 16:13:
ESET maakt een heleboel herrie om niks, waarschijnlijk gewoon een dubbel IP in je netwerk waardoor twee hosts op ARP requests antwoorden dat zij het IP hebben met hun MAC adres.

Oplossing: herstart alles en kijk welke IP adressen er allemaal in gebruik zijn. Als er apparaten een static IP hebben binnen een DHCP range zou het best kunnen zijn dat een apparaat een lease gekregen heeft voor een IP dat dus gebruikt wordt door je static config.

Alles is uit het stopcontact getrokken en opnieuw ingestoken, pc aangezet en tot nu toe geen meldingen meer van eset

Is mss nog wat te vroeg om te juichen dat het zo simpel opgelost is maar anders kreeg ik de melding zodra de pc opstart.

Verder heb ik ook daarnet de instellingen van de router als switch gecontroleerd en DHCP staat uit.

Hopelijk is het hiermee opgelost.... Nog iets dat ik moet doen voor zekerheid?

vrijdag 2 juni 2017 17:16

Acties:

0 Henk 'm!

johnkeates

Je hoeft niks te doen, maar het kan zijn dat het voor komt door dat je een apparaat hebt dat zowel draadloos als bedraad verbonden is en om een of andere reden op beide verbindingen hetzelfde adres gebruikt. Een ander probleem is dat een apparaat dat in standby gaat soms beslist z'n IP adres te onthouden, waarna bij het ontwaken dat IP weer gebruikt wordt. Als een ander apparaat ondertussen dat IP adres gekregen heeft geeft dat ook een melding van een dubbel IP.

Als je de melding weer krijgt is het van belang al je apparaten even langs te gaan en te kijken welke IP adressen er op de apparaten weergegeven worden. Voor digicorders kan je dat vaak wel in een info menu vinden.

De reden dat ESET überhaupt een melding geeft is om dat dit in theorie gebruikt kan worden voor ARP cache poisoning zodat iemand in het netwerk je verkeer stiekem kan afluisteren via een switch. De kans is klein dat dit op het moment gebeurt, tenzij je niet thuis bent, maar op een bedrijfsnetwerk met onbetrouwbare klanten zit. De melding opzich is niet verkeerd, het is vooral voor performance en diagnose handig, en het moet daadwerkelijk opgelost worden, maar als dit thuis gebeurt en je niks geks aan het doen bent (en er geen onbekende apparaten met een draadje op je switch/modem/router aangesloten zijn) is het dus niet zo zeer een beveiligingsprobleem maar eerder een performance probleem en mogelijk verkeerde timing of verkeerde instellingen.

Vraag

Alle reacties