Toon posts:

'ARP Cache Table' vol met onbekende IP's!?

Pagina: 1
Acties:

zondag 18 juli 2004 17:53

Acties:

Verwijderd

Topicstarter
Kijk net in de diagnostics van m'n Draytek 2200we (4747uur up!) en zie een heleboel vreemde entries in de 'ARP Cache Table' van m'n router:

82.161.28.190 00-09-B6-8E-90-48
82.161.29.71 00-09-B6-8E-90-48
82.161.28.25 00-09-B6-8E-90-48
82.161.28.40 00-09-B6-8E-90-48
82.161.29.79 00-09-B6-8E-90-48
82.161.28.149 00-09-B6-8E-90-48
82.161.28.218 00-09-B6-8E-90-48
82.161.29.159 00-09-B6-8E-90-48
82.161.29.47 00-09-B6-8E-90-48
82.161.28.167 00-09-B6-8E-90-48
82.161.29.135 00-09-B6-8E-90-48
etc.

Moet ik me zorgen maken, c.q. zijn dit hack-pogingen of zo?
Zit via Demon ADSL aan het internet, en de router staat continu aan.

[ Voor 8% gewijzigd door Verwijderd op 18-07-2004 17:55 ]

zondag 18 juli 2004 18:01

Acties:

Verwijderd

gezien dezelfde macadressen denk ik niet dat je aan een hack poging moet denken. Tevens zij alle ip's uit dezelfde range, dus mischien een soort van broadcast o.i.d.

zondag 18 juli 2004 18:05

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 18 juli 2004 @ 18:01:
gezien dezelfde macadressen denk ik niet dat je aan een hack poging moet denken. Tevens zij alle ip's uit dezelfde range, dus mischien een soort van broadcast o.i.d.
Zijn inderdaad allemaal van 2 MAC-adressen.

Domme vraag: hoe komen die in die ARP-cache?

Ik zag dit http://groups.google.nl/g...ries%2Bin%2Brouter%2Bhack en toen maakte ik me wat zorgen....

[ Voor 27% gewijzigd door Verwijderd op 18-07-2004 18:07 ]

zondag 18 juli 2004 18:08

Acties:
  • Frankie02
  • Registratie: Juli 2000
  • Laatst online: 31-08-2025

Frankie02

Waarschijnlijk slecht geconfigureerde routertjes die als een gek ARP pakketjes staan uit te delen...

zondag 18 juli 2004 18:10

Acties:

Verwijderd

Je zou zeggen als je een ander ipadres toegewezen krijg door je provider, en laat dat nu net niet het geval zijn bij jou provider... Er vanuit gaande dat er niet geknoeid is in de config van je router en/of een oude firmware met eventuele beveiligingsfouten zou ik het verder niet weten... wat krijg je als je op de commandline van je server (zo niet werkstation) arp -a commando geeft?

zondag 18 juli 2004 18:10

Acties:

Verwijderd

Topicstarter
Frankie02 schreef op 18 juli 2004 @ 18:08:
Waarschijnlijk slecht geconfigureerde routertjes die als een gek ARP pakketjes staan uit te delen...
Maar is het dan niet raar dat ze van (veel) verschillende IP-adressen komen, met hetzelfde MAC-adres?

zondag 18 juli 2004 18:14

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

je wireless gedeelte is wel goed beveiligd?

die arp cache tabel houdt namelijk alleen entry's bij van je interne interface.... niet van je externe

A wise man's life is based around fuck you

zondag 18 juli 2004 18:14

Acties:

Verwijderd

spoofing

zondag 18 juli 2004 18:17

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 18 juli 2004 @ 18:10:
Je zou zeggen als je een ander ipadres toegewezen krijg door je provider, en laat dat nu net niet het geval zijn bij jou provider... Er vanuit gaande dat er niet geknoeid is in de config van je router en/of een oude firmware met eventuele beveiligingsfouten zou ik het verder niet weten... wat krijg je als je op de commandline van je server (zo niet werkstation) arp -a commando geeft?
Op 1 van m'n pc's geeft dit (naast het IP van m'n pc) het ip-adres van de router aan de lan-kant (dus in m'n eigen netwerk subnet).

zondag 18 juli 2004 18:18

Acties:

Verwijderd

Topicstarter
zwelgje schreef op 18 juli 2004 @ 18:14:
je wireless gedeelte is wel goed beveiligd?

die arp cache tabel houdt namelijk alleen entry's bij van je interne interface.... niet van je externe
Wireless is beveildigd met alle opties van deze machine (WEP, MAC en SSID hide). En zie ook in de IP-tabel dat er geen IP-adres is uitgedeeld aan een onbekende machine, dus lijkt geen ongewenste toegang via wireless te zijn...

zondag 18 juli 2004 18:21

Acties:

Verwijderd

demon heeft een router die iets van broadcasts doorlaat.
Een broadcast van een andere demon internetgebruiker in jouw subnet bereikt jouw via deze demon router.
IP van andere user levert zo als MAC de demon router

zondag 18 juli 2004 18:21

Acties:
  • SyS_ErroR
  • Registratie: Juni 2002
  • Laatst online: 21:44

SyS_ErroR

Ik heb zelf een 2600I (DrayTek Vigor dus) met ook een Demon DSL abbonnement, en bij verschijnen die entries ook (maar alleen als k naar dat adres ping)

Dus die cache bij mij blijft leeg, maar zodra ik een DEMON adres ping (82.161 nogiets) dan komt DAT IP in die Arp Cache Table te staan, verder begrijpen doe ik niet. Maar je weet nu iig dat je niet de enigste bent..

zondag 18 juli 2004 18:52

Acties:

Verwijderd

Topicstarter
SyS_ErroR schreef op 18 juli 2004 @ 18:21:
Ik heb zelf een 2600I (DrayTek Vigor dus) met ook een Demon DSL abbonnement, en bij verschijnen die entries ook (maar alleen als k naar dat adres ping)

Dus die cache bij mij blijft leeg, maar zodra ik een DEMON adres ping (82.161 nogiets) dan komt DAT IP in die Arp Cache Table te staan, verder begrijpen doe ik niet. Maar je weet nu iig dat je niet de enigste bent..
Hee, da's een gouden tip. Ff geprobeerd en voila je hebt gelijk: ze staan inderdaad nu in de ARP cache. Ben me niet bewust dat ik ge-pinged zou hebben naar die andere adressen, maar ja, ik ga dus maar gerust slapen vannacht...

maandag 19 juli 2004 10:05

Acties:

Verwijderd

Verwijderd schreef op 18 juli 2004 @ 18:52:
[...]

Hee, da's een gouden tip. Ff geprobeerd en voila je hebt gelijk: ze staan inderdaad nu in de ARP cache. Ben me niet bewust dat ik ge-pinged zou hebben naar die andere adressen, maar ja, ik ga dus maar gerust slapen vannacht...
als je zelf een virusje hebt vult zo'n cache zich overgens ook behoorlijk, ik zou hem dus even clearen en kijken hoe snel deze zich vult.

maandag 19 juli 2004 10:13

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Dit zijn allemaal IP's uit je eigen range.. Het MAC-adres is die van jou gateway :)

Mijn theorie: alle ARP-requests van jou kant worden door de switch van Demon afgevangen en ipv dat de correcte PC (jou buurman bijv) een ARP-reply doet, doet de switch/router van Demon dat voor jou met het router MAC-adres. Daardoor gaat ook al je local subnet-verkeer door de router van Demon. Zal wel wat te maken hebben met traffic-meten enzo. :)
Pagina: 1
Reageer