Spook apparaat op mijn netwerk identificeren

dinsdag 27 oktober 2020 11:36

Acties:

0 Henk 'm!

Topicstarter

Ik heb sindskort geregeld dat mijn DHCP server eruit klapt op mijn MikroTik hEX S router. Een echte oorzaak heb ik nog niet kunnen vinden maar ik probeer dit stapsgewijs op te lossen. Ik moet nu telkens mijn router opnieuw starten om weer internet te krijgen.

In de logs valt het mij nu op dat er een apparaat in mijn netwerk zit dat i.t.t. andere apparaat erg vaak een ip address vraagt van mijn dhcp server. Echter kom ik er niet achter welke apparaat dit zou moeten zijn?

Het apparaat heeft een blanko hostname. Het apparaat pingen geeft geen response. Helaas ook geen webserver die ik via dat ip kan benaderen om daar misschien wat meer info van te krijgen. Via nbtscan krijg ik ook geen response. Ik heb het mac address ook al door "address lookup" websites heengehaald maar ook niks.

Ik heb ouderwets in een schriftje al mijn netwerk apparatuur opgeschreven en nagelopen via de leases maar ik kan dit apparaat echt niet plaatsen..

Nu zou ik eventueel via een firewall rule dat mac address kunnen droppen maar ik ben nu eigenlijk wel benieuwd of ik alsnog op de een of andere manier kan identificeren wat dit is?

dinsdag 27 oktober 2020 11:37

Acties:

+1 Henk 'm!

jeroen3

Je kunt misschien een log rule maken zodat je weet vanaf welke interface de verzoeken komen.

dinsdag 27 oktober 2020 11:39

Acties:

+5 Henk 'm!

mcDavid

Als je het apparaat niet kent: blokkeren op basis van mac-adres. Dan ben je er iig vanaf.

Als er dan toch iets stopt met werken weet je ook gelijk wat het is.

dinsdag 27 oktober 2020 11:41

Acties:

0 Henk 'm!

boyette

mcDavid schreef op dinsdag 27 oktober 2020 @ 11:39:
Als je het apparaat niet kent: blokkeren op basis van mac-adres. Dan ben je er iig vanaf.

Als er dan toch iets stopt met werken weet je ook gelijk wat het is.

nou dat zou ik maar niet doen
is het niet gewoon een submac van een ander netwerk apparaat?

zie je niets wat er op lijkt?

je hebt bovendien een bekabeld netwerk
daar spookt het niet zomaar

[ Voor 8% gewijzigd door boyette op 27-10-2020 11:42 ]

dinsdag 27 oktober 2020 11:43

Acties:

0 Henk 'm!

canonball

Als je geen andere Router in het netwerk hebt, mischien pihole/adguard?

dinsdag 27 oktober 2020 11:43

Acties:

+1 Henk 'm!

Michael Knight

Moderator Consumentenelektronica

KITT, I need you buddy!

boyette schreef op dinsdag 27 oktober 2020 @ 11:41:
[...]

nou dat zou ik maar niet doen
is het niet gewoon een submac van een ander netwerk apparaat?

zie je niets wat er op lijkt?

je hebt bovendien een bekabeld netwerk
daar spookt het niet zomaar

Zolang het niet je eigen mac-adres is, snap ik niet wat het probleem moet zijn? Met een beetje geluk weet je binnen een half uur wat er niet werkt (of gewoon geen verbinding maakt) in huis..

(Zeldzame) retrogames en meer --> Aangeboden op V&A

dinsdag 27 oktober 2020 11:43

Acties:

+6 Henk 'm!

bras

Via https://macvendors.com/ kun je achterhalen welke fabrikant hoort bij het device. Mogelijk biedt dat een hint welk apparaat het betreft.

"When you find yourself in the company of a halfling and an ill-tempered Dragon, remember, you do not have to outrun the Dragon...you just have to outrun the halfling."

dinsdag 27 oktober 2020 11:47

Acties:

+1 Henk 'm!

boyette

bras schreef op dinsdag 27 oktober 2020 @ 11:43:
Via https://macvendors.com/ kun je achterhalen welke fabrikant hoort bij het device. Mogelijk biedt dat een hint welk apparaat het betreft.

dat had hij al geprobeerd toch?
stond dat niet in zijn openingspost?

dinsdag 27 oktober 2020 11:48

Acties:

0 Henk 'm!

Vaenir

Topicstarter

boyette schreef op dinsdag 27 oktober 2020 @ 11:41:
[...]

nou dat zou ik maar niet doen
is het niet gewoon een submac van een ander netwerk apparaat?

zie je niets wat er op lijkt?

je hebt bovendien een bekabeld netwerk
daar spookt het niet zomaar

En daarin vergeet ik dus een belangrijk onderdeel. Er hangt een Ubiquiti Amplfi HD in bridge modus aan voor mijn wifi apparatuur. Maar ook daar vallen alle leases te herleiden incl het mac adres van die Ubiquiti zelf.

jeroen3 schreef op dinsdag 27 oktober 2020 @ 11:37:
Je kunt misschien een log rule maken zodat je weet vanaf welke interface de verzoeken komen.

Goed idee! Daarmee kan ik al iets gerichter zoeken hopelijk.

bras schreef op dinsdag 27 oktober 2020 @ 11:43:
Via https://macvendors.com/ kun je achterhalen welke fabrikant hoort bij het device. Mogelijk biedt dat een hint welk apparaat het betreft.

Inderdaad al geprobeerd en levert niks op.

[ Voor 35% gewijzigd door Vaenir op 27-10-2020 11:51 ]

dinsdag 27 oktober 2020 11:53

Acties:

0 Henk 'm!

boyette

Vaenir schreef op dinsdag 27 oktober 2020 @ 11:48:
[...]

En daarin vergeet ik dus een belangrijk onderdeel. Er hangt een Ubiquiti Amplfi HD in bridge modus aan voor mijn wifi apparatuur. Maar ook daar vallen alle leases te herleiden incl het mac adres van die Ubiquiti zelf.

nou dan begin eens met uit te sluiten of het in het bekabelde gedeelte zit of in het draadloze..

verander je wifi wachtwoord
en kijk of het apparaat nog steeds zichtbaar is

dinsdag 27 oktober 2020 11:58

Acties:

0 Henk 'm!

Vaenir

Topicstarter

boyette schreef op dinsdag 27 oktober 2020 @ 11:53:
[...]

nou dan begin eens met uit te sluiten of het in het bekabelde gedeelte zit of in het draadloze..

verander je wifi wachtwoord
en kijk of het apparaat nog steeds zichtbaar is

Heel toevallig vorige week een compleet nieuw SSID aangemaakt puur voor mijn thuisnetwerk. Alle apparatuur zelf opnieuw toegevoegd en gelabeled binnen zowel de Ubiquiti app als in de Mikrotik router. Het wachtwoord is alleen bekend bij mij. Verder draait er een beveiligd gastennetwerk op een apart vlan maar vooralsnog heeft nog niemand daar gebruik van gemaakt.

Ik heb dus zoals eerder gezegd letterlijk al mijn apparaat opgeschreven en nagelopen en alles klopt buiten dat apparaat met een blanco hostname dat te vaak om een ip adres vraagt.

dinsdag 27 oktober 2020 11:58

Acties:

0 Henk 'm!

MarcoC

De kans lijkt mij groot dat er een draadloos apparaat is wat voor problemen zorgt, bekabeld aangesloten apparaten zijn immers makkelijk op te sporen. Het wordt een ouderwets spelletje uitsluiten vrees ik. Wat je kunt proberen:
1. Draadloze apparaten allemaal uitzetten en 1 voor 1 aanzetten totdat je het MAC-adres tegenkomt.
2. Naam van je draadloze netwerk wijzigen en 1 voor 1 instellen totdat je het MAC-adres tegenkomt.

dinsdag 27 oktober 2020 12:00

Acties:

0 Henk 'm!

Vaenir

Topicstarter

MarcoC schreef op dinsdag 27 oktober 2020 @ 11:58:
De kans lijkt mij groot dat er een draadloos apparaat is wat voor problemen zorgt, bekabeld aangesloten apparaten zijn immers makkelijk op te sporen. Het wordt een ouderwets spelletje uitsluiten vrees ik. Wat je kunt proberen:
1. Draadloze apparaten allemaal uitzetten en 1 voor 1 aanzetten totdat je het MAC-adres tegenkomt.
2. Naam van je draadloze netwerk wijzigen en 1 voor 1 instellen totdat je het MAC-adres tegenkomt.

Vorige week nog gedaan maar ik ben er bang voor dat ik dat dus weer moet gaan doen.

dinsdag 27 oktober 2020 12:02

Acties:

0 Henk 'm!

mash_man02

Een interessante casus, maar je aanleiding is instabiliteit van je router. Ik denk dat je een beetje afdwaalt, als je zegt vaak een adres vraagt, waar hebben we het dan over, 200 per seconde ? 2 per seconde ? Kun je dat stul log met ons delen ?

Want als het raar is maar niet extreem zou het geen instabiliteit van je router mogen veroorzaken.

Verder mogelijk even kijken of je wat meer uit tabellen van je router kunt halen.

https://forum.mikrotik.com/viewtopic.php?t=79692

[ Voor 24% gewijzigd door mash_man02 op 27-10-2020 12:07 ]

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

dinsdag 27 oktober 2020 12:03

Acties:

+2 Henk 'm!

holygame

Toen ik overgegaan was naar U apparatuur kwam ik ook een apparaat tegen zonder hostname, geen ping mogelijkheid. Bleek de tv decoder te zijn.

dinsdag 27 oktober 2020 12:06

Acties:

0 Henk 'm!

synoniem

De instabiliteit wordt mogelijk veroorzaakt doordat het betreffende apparaat om een ip adres blijft vragen en daarmee de voorraad ip's opraakt (254 in een subnet). Ik zou het apparaat op mac-adres blokkeren en dan verder kijken.

dinsdag 27 oktober 2020 12:07

Acties:

0 Henk 'm!

boyette

synoniem schreef op dinsdag 27 oktober 2020 @ 12:06:
De instabiliteit wordt mogelijk veroorzaakt doordat het betreffende apparaat om een ip adres blijft vragen en daarmee de voorraad ip's opraakt (254 in een subnet). Ik zou het apparaat op mac-adres blokkeren en dan verder kijken.

dat denk ik niet
ik denk zelfs dat dat apparaat helemaal niet communiceert op ip level
en dat het een submacadres is van een apparaat wat al een ip adres heeft op een ander macadres

dinsdag 27 oktober 2020 12:08

Acties:

+2 Henk 'm!

mash_man02

synoniem schreef op dinsdag 27 oktober 2020 @ 12:06:
De instabiliteit wordt mogelijk veroorzaakt doordat het betreffende apparaat om een ip adres blijft vragen en daarmee de voorraad ip's opraakt (254 in een subnet). Ik zou het apparaat op mac-adres blokkeren en dan verder kijken.

Lijkt mij niet mogelijk, als de dhcp server ieder keer een ander adres aan het zelfde mac geeft na een bevestigde lease is je dhcp server code gewoon stuk, maar blijf vooral mee spuien, het zet mensen toch aan het denken en helpt mogelijk indirect tot een oplossing.

Maar wat ik wel zit te denken is apple IOS 14 private adress.

https://support.apple.com...n,Tap%20Private%20Address.

Dit zorgt voor "virtuele" niet echte adressen die leases vragen.

[ Voor 25% gewijzigd door mash_man02 op 27-10-2020 12:12 ]

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

dinsdag 27 oktober 2020 12:10

Acties:

0 Henk 'm!

boyette

mash_man02 schreef op dinsdag 27 oktober 2020 @ 12:08:
[...]

Lijkt mij niet mogelijk, als de dhcp server ieder keer een ander adres aan het zelfde mac geeft na een bevestigde lease is je dhcp server code gewoon stuk.

Maar wat ik wel zit te denken is apple IOS 14 private adress.

https://support.apple.com...n,Tap%20Private%20Address.

idd ook zo

dinsdag 27 oktober 2020 12:13

Acties:

0 Henk 'm!

MicGlou

Het is nog niet genoemd... even vrij basic, WPS staat uit?

dinsdag 27 oktober 2020 12:15

Acties:

0 Henk 'm!

Vorkie

Wat is het MAC adres?

dinsdag 27 oktober 2020 12:19

Acties:

0 Henk 'm!

lier

MikroTik nerd

Zou je voor de volledigheid je config van je RB kunnen posten:

/export hide-sensitive file=ietswatjijleukvindt

offtopic:
Haal hier nog wel even de MAC adressen uit en eventuele andere zaken die niet van belang zijn.

Eerst het probleem, dan de oplossing

dinsdag 27 oktober 2020 12:22

Acties:

0 Henk 'm!

Vaenir

Topicstarter

mash_man02 schreef op dinsdag 27 oktober 2020 @ 12:02:
Een interessante casus, maar je aanleiding is instabiliteit van je router. Ik denk dat je een beetje afdwaalt, als je zegt vaak een adres vraagt, waar hebben we het dan over, 200 per seconde ? 2 per seconde ? Kun je dat stul log met ons delen ?

Want als het raar is maar niet extreem zou het geen instabiliteit van je router mogen veroorzaken.

Verder mogelijk even kijken of je wat meer uit tabellen van je router kunt halen.

https://forum.mikrotik.com/viewtopic.php?t=79692

Thanks! Ik heb kunnen achterhalen vanaf welke ethernet poort het komt. Die gaat richting mijn server. Alleen nu is even de vraag waarom deze een "spook verbinding" maakt buiten de normale verklaarbare verbinding. Er zitten wel twee NICs op dat Supermicro moederbord maar daar is er maar een van aangesloten. Ik denk dat daar iets vreemds aan de hand is. Alleen heb ik pas vanavond tijd om mij daar volledig op in te storen.

Ik ga er trouwens ondertussen nu vanuit dat dit niet de oorzaak zal zijn voor het uitvallen van mijn dhcp server. Maar ik heb in ieder geval wel weer wat geleerd hoe ik traffic kan herleiden op mijn router..

[ Voor 9% gewijzigd door Vaenir op 27-10-2020 12:24 ]

dinsdag 27 oktober 2020 12:30

Acties:

0 Henk 'm!

Ben(V)

Zou het eerst maar eens in die MicroTik gaan zoeken.
Een dhcp server mag er natuurlijk nooit uitklappen zelfs niet als hij heel erg veel dhcp requests krijgt.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 27 oktober 2020 12:32

Acties:

0 Henk 'm!

BastiaanCM

Misschien is het zo'n chip backdoor dat de boel loopt te verzieken ? Kan me zo'n verhaal vaag herinneren van intel ofzo, bijv Intel Management Engine dacht ik.

dinsdag 27 oktober 2020 12:34

Acties:

+1 Henk 'm!

synoniem

BastiaanCM schreef op dinsdag 27 oktober 2020 @ 12:32:
Misschien is het zo'n chip backdoor dat de boel loopt te verzieken ? Kan me zo'n verhaal vaag herinneren van intel ofzo, bijv Intel Management Engine dacht ik.

Het kan ook gewoon de IPMI interface van de server zijn. Alleen vreemd dat hij blijft pollen.

dinsdag 27 oktober 2020 12:34

Acties:

+1 Henk 'm!

citruspers

Vaenir schreef op dinsdag 27 oktober 2020 @ 12:22:
[...]

Thanks! Ik heb kunnen achterhalen vanaf welke ethernet poort het komt. Die gaat richting mijn server. Alleen nu is even de vraag waarom deze een "spook verbinding" maakt buiten de normale verklaarbare verbinding. Er zitten wel twee NICs op dat Supermicro moederbord maar daar is er maar een van aangesloten. Ik denk dat daar iets vreemds aan de hand is. Alleen heb ik pas vanavond tijd om mij daar volledig op in te storen.

Ik ga er trouwens ondertussen nu vanuit dat dit niet de oorzaak zal zijn voor het uitvallen van mijn dhcp server. Maar ik heb in ieder geval wel weer wat geleerd hoe ik traffic kan herleiden op mijn router..

Mijn supermicro board heeft 2 gewone interfaces en 1 speciaal voor IPMI, maar standaard is IPMI ook te bereiken via de normale netwerkpoorten. Misschien dat dit bij jou ook het geval is.

I'm a photographer, not a terrorist

dinsdag 27 oktober 2020 12:36

Acties:

0 Henk 'm!

Vaenir

Topicstarter

Ben(V) schreef op dinsdag 27 oktober 2020 @ 12:30:
Zou het eerst maar eens in die MicroTik gaan zoeken.
Een dhcp server mag er natuurlijk nooit uitklappen zelfs niet als hij heel erg veel dhcp requests krijgt.

Ik heb dit apparaat nu ~ 2 jaar en hij heeft altijd stabiel gedraaid tot zeer recent waarbij ik dus constateer dat de dhcp server niet meer werkt. Ik had eerst het idee dat het door mij zelf kwam omdat ik een leek ben op het gebied van netwerken en ik twee vlans had aangemaakt.

Ik heb daarna de stable versie van RouterOS er opnieuw opgezet en draai nu de standaard configuratie zonder gekkigheden. Maar het probleem blijft helaas..

dinsdag 27 oktober 2020 12:59

Acties:

+1 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Vorkie schreef op dinsdag 27 oktober 2020 @ 12:15:
Wat is het MAC adres?

Dit inderdaad, geef dat adres.

Grote kans dat het een 'locally administered' OUI is, oftewel een MAC-adres waarvan het tweede teken licht veranderd is tov de universal OUI.

Oslik blyat! Oslik!

dinsdag 27 oktober 2020 13:00

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Vaenir schreef op dinsdag 27 oktober 2020 @ 12:36:
[...]

Ik heb dit apparaat nu ~ 2 jaar en hij heeft altijd stabiel gedraaid tot zeer recent waarbij ik dus constateer dat de dhcp server niet meer werkt. Ik had eerst het idee dat het door mij zelf kwam omdat ik een leek ben op het gebied van netwerken en ik twee vlans had aangemaakt.

Ik heb daarna de stable versie van RouterOS er opnieuw opgezet en draai nu de standaard configuratie zonder gekkigheden. Maar het probleem blijft helaas..

Het blijft een vreemd verhaal. Ten eerste zou het MAC address telkens hetzelfde IP address moeten toegewezen krijgen. Ten tweede zou de DHCP server als hij toch uit de toegewezen scope loopt, niet moeten crashen maar gewoon een NACK terug sturen. Ten derde heb je de vraag niet beantwoord hoeveel "erg vaak" is: 20 keer per dag? 500 keer per seconde?

QnJhaGlld2FoaWV3YQ==

dinsdag 27 oktober 2020 13:05

Acties:

+2 Henk 'm!

vanaalten

Misschien een docker container/installatie die om een IP-adres vraagt?

dinsdag 27 oktober 2020 13:23

Acties:

+1 Henk 'm!

laurens0619

even om zeker te weten: geen powerline actief sinds kort?

CISSP! Drop your encryption keys!

dinsdag 27 oktober 2020 19:31

Acties:

0 Henk 'm!

boyette

dion_b schreef op dinsdag 27 oktober 2020 @ 12:59:
[...]

Dit inderdaad, geef dat adres.

Grote kans dat het een 'locally administered' OUI is, oftewel een MAC-adres waarvan het tweede teken licht veranderd is tov de universal OUI.

Dat had ik geloof ik al eerder gezegd..

dinsdag 27 oktober 2020 22:51

Acties:

0 Henk 'm!

fastedje

Je kan ook een netwerk scan tools gebruiken als linux netcat of deze andoid app: https://play.google.com/s...techet.netanalyzerlite.an

dinsdag 27 oktober 2020 23:17

Acties:

0 Henk 'm!

Pietervs

is er al koffie?

Vaenir schreef op dinsdag 27 oktober 2020 @ 12:22:
[...]

Thanks! Ik heb kunnen achterhalen vanaf welke ethernet poort het komt. Die gaat richting mijn server. Alleen nu is even de vraag waarom deze een "spook verbinding" maakt buiten de normale verklaarbare verbinding. Er zitten wel twee NICs op dat Supermicro moederbord maar daar is er maar een van aangesloten. Ik denk dat daar iets vreemds aan de hand is. Alleen heb ik pas vanavond tijd om mij daar volledig op in te storen.

Hoe is je server aangesloten? Zit er een switch tussen of hangt die rechtstreeks aan je router? Want het zou natuurlijk het adres van je switch kunnen zijn. Of er zit iets meer in die switch ingeprikt als alleen de server

Pvoutput 3.190 Wp Zuid; Marstek Venus 5.12 kWh; HW P1; BMW i4 eDrive40

dinsdag 27 oktober 2020 23:36

Acties:

+1 Henk 'm!

The_Greater

Pietervs schreef op dinsdag 27 oktober 2020 @ 23:17:
[...]

Hoe is je server aangesloten? Zit er een switch tussen of hangt die rechtstreeks aan je router? Want het zou natuurlijk het adres van je switch kunnen zijn. Of er zit iets meer in die switch ingeprikt als alleen de server

Of een manageble switch met het zelfde IP als de router?

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

woensdag 28 oktober 2020 10:14

Acties:

0 Henk 'm!

ChaserBoZ_

holygame schreef op dinsdag 27 oktober 2020 @ 12:03:
Toen ik overgegaan was naar U apparatuur kwam ik ook een apparaat tegen zonder hostname, geen ping mogelijkheid. Bleek de tv decoder te zijn.

Dat soort dingen idd. Was vorige week ervan overtuigd een spookapparaat te hebben, bleek de Nintendo Switch van de kinderen te zijn. MAC tabel administratie weer bijgewerkt

ontopic; accesspoint uit, even wachten, en dan eens kijken of je het MAC adres nog ziet, om uit te sluiten bekabeld vs draadloos. Indien draadloos; SSID wijzigen, indien bekabeld; steeds een kabel loshalen . . .

citruspers schreef op dinsdag 27 oktober 2020 @ 12:34:
[...]

Mijn supermicro board heeft 2 gewone interfaces en 1 speciaal voor IPMI, maar standaard is IPMI ook te bereiken via de normale netwerkpoorten. Misschien dat dit bij jou ook het geval is.

Dat inderdaad, de IPMI kan op een dedicated interface of op een gedeelde interface ingesteld worden. In dat laatste geval ligt het voor de hand dat ie wat aan elkaar bridge't intern. Bij het booten zie je doorgaans de MAC adressen ook van de IPMI poort.

Statisch IP erop zetten ? Dan zou ie moeten stoppen met DHCP . . .

[ Voor 32% gewijzigd door ChaserBoZ_ op 28-10-2020 10:18 ]

'Maar het heeft altijd zo gewerkt . . . . . . '

Vraag

Alle reacties