Hilfe!!! wurde opfer von man in the middle angriff!! was nun?

Harilp · 25.01.2016, 18:47

Seit mein wlan seit kurzem sehr langsam geworden ist hab ich mich mal mit den arp tabellen auseinandergesezt und habe dabei einige dynamische adressen entdeckt die die gleichen physischen adressen haben wie mein router.

Panda AV hat nichts bemerkt.

Was nun?

Hoffe auf schnelle Rückmeldung,

euer Hari

felix1 · 25.01.2016, 20:02

Zitat:

Zitat von Harilp

Seit mein wlan seit kurzem sehr langsam geworden ist hab ich mich mal mit den arp tabellen auseinandergesezt und habe dabei einige dynamische adressen entdeckt die die gleichen physischen adressen haben wie mein router.

Panda AV hat nichts bemerkt.

Was nun?

Hoffe auf schnelle Rückmeldung,

euer Hari

Mein Hund hat Schnupfen und niest. Der Tierarzt hat nichts bememerkt

Harilp · 25.01.2016, 20:13

Was eine gute Antwort....
Kannst mir was konkreteres sagen?

cosinus · 25.01.2016, 20:15

Zitat:

Zitat von Harilp

Was eine gute Antwort....
Kannst mir was konkreteres sagen?

Du als Hilfesuchender hättest mit Konkretem anfangen sollen zB die Auflistung also die Ausgabe von arp -a oder wasauchimmer du da gemacht hast, posten. Aber so ist das doch ne Luftnummer und daher passt auch die

Harilp · 25.01.2016, 20:19

Entschuldigung!

Ich habe unter anderem auf einen Alarm von X-Arp reagiert und habe daraufhin die konsole geöffnet und arp -a eingegeben und hab da 4 statische gesehn und 5 andere die hatten alle ne unterschiedliche ip aber die gleiche physische kennung.deshalb bin ich hier.

felix1 · 25.01.2016, 20:53

Zitat:

Zitat von Harilp

Entschuldigung!

Ich habe unter anderem auf einen Alarm von X-Arp reagiert und habe daraufhin die konsole geöffnet und arp -a eingegeben und hab da 4 statische gesehn und 5 andere die hatten alle ne unterschiedliche ip aber die gleiche physische kennung.deshalb bin ich hier.

Nehme es mir bitte nicht übel: Du hast es immer noch nicht verstanden, ohne konkrete Logs ist hier

angesagt. Ich bin raus.

Harilp · 26.01.2016, 17:44

Gibts keine lösung?bin bereit das ganze netzwerk umzustellen das es aufhört

Fragerin · 26.01.2016, 18:46

Dann gib doch mal die genaue Ausgabe von arp -a hier an. Zum Helfen braucht man immer möglichst konkrete und detaillierte Infos.

Harilp · 26.01.2016, 20:17

sollte ich bei den bildern dazu etwas zensieren wegen privatsphäregründen?

bei tracert:Routenverfolgung zu google.at [188.21.9.55]
über maximal 30 Hops:

1 2 ms 1 ms 4 ms dsldevice.home [10.0.0.138]
2 25 ms 16 ms 18 ms 194-166-167-254.adsl.highway.telekom.at [194.166
.167.254]
3 151 ms 16 ms 16 ms 195.3.75.9
4 278 ms 24 ms 33 ms 195.3.75.41
5 152 ms 23 ms 23 ms lg48-AUX10.as8447.a1.net [195.3.64.137]
6 28 ms 26 ms 26 ms 195.3.118.62
7 34 ms 27 ms 27 ms 195.3.114.58
8 118 ms 26 ms 30 ms 188.21.9.55

Ablaufverfolgung beendet.

ist das ungewöhnlich?

netstat -n hat das angezeigt

Code:

ATTFilter

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    10.0.0.5:50420         104.103.72.40:80       SCHLIESSEN_WARTEN
  TCP    10.0.0.5:51093         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51097         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51098         137.135.194.16:443     WARTEND
  TCP    10.0.0.5:51110         64.233.184.95:80       WARTEND
  TCP    10.0.0.5:51117         188.21.9.58:80         WARTEND
  TCP    10.0.0.5:51121         104.16.16.35:80        WARTEND
  TCP    10.0.0.5:51126         104.16.24.235:80       WARTEND
  TCP    10.0.0.5:51139         23.51.123.27:80        WARTEND
  TCP    10.0.0.5:51140         185.31.17.249:80       WARTEND
  TCP    10.0.0.5:51141         185.31.17.249:80       WARTEND
  TCP    10.0.0.5:51143         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51144         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51145         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51146         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51147         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51148         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51149         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51150         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51151         64.233.184.95:80       WARTEND
  TCP    10.0.0.5:51152         64.233.184.95:80       WARTEND
  TCP    10.0.0.5:51153         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51154         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51155         173.194.116.185:80     WARTEND
  TCP    10.0.0.5:51156         74.125.133.94:80       HERGESTELLT
  TCP    10.0.0.5:51157         74.125.133.94:80       WARTEND
  TCP    10.0.0.5:51158         85.25.210.9:80         WARTEND
  TCP    10.0.0.5:51159         85.25.210.9:80         WARTEND
  TCP    10.0.0.5:51160         85.25.210.9:80         WARTEND
  TCP    10.0.0.5:51161         54.231.17.80:80        HERGESTELLT
  TCP    10.0.0.5:51163         54.231.17.80:80        WARTEND
  TCP    10.0.0.5:51166         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51168         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51169         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51170         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51171         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51174         173.194.116.185:80     WARTEND
  TCP    10.0.0.5:51175         173.194.116.185:80     WARTEND
  TCP    10.0.0.5:51176         91.216.218.237:443     WARTEND
  TCP    10.0.0.5:51177         91.216.218.237:443     HERGESTELLT
  TCP    10.0.0.5:51178         91.216.218.237:443     HERGESTELLT
  TCP    10.0.0.5:51180         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51181         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51182         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51183         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51184         161.69.12.13:80        WARTEND
  TCP    10.0.0.5:51185         62.210.136.72:80       WARTEND
  TCP    10.0.0.5:51186         104.103.72.114:80      HERGESTELLT
  TCP    10.0.0.5:51187         84.39.152.33:80        SCHLIESSEN_WARTEN
  TCP    10.0.0.5:51188         85.13.149.210:80       WARTEND
  TCP    10.0.0.5:51189         161.69.28.13:80        WARTEND
  TCP    127.0.0.1:49954        127.0.0.1:49955        HERGESTELLT
  TCP    127.0.0.1:49955        127.0.0.1:49954        HERGESTELLT

und arp -a das:

Code:

ATTFilter

Schnittstelle: 10.0.0.5 --- 0x3
  Internetadresse       Physische Adresse     Typ
  10.0.0.1              00-03-91-b2-7a-ac     dynamisch
  10.0.0.3              80-37-73-b2-1d-fb     dynamisch
  10.0.0.4              44-6d-57-a9-a6-b8     dynamisch
  10.0.0.138            30-91-8f-78-5d-78     dynamisch
  224.0.0.2             01-00-5e-00-00-02     statisch
  224.0.0.252           01-00-5e-00-00-fc     statisch
  224.0.0.253           01-00-5e-00-00-fd     statisch
  239.255.255.250       01-00-5e-7f-ff-fa     statisch

cosinus · 26.01.2016, 20:22

Code:

ATTFilter

224.0.0.2             01-00-5e-00-00-02     statisch
224.0.0.252           01-00-5e-00-00-fc     statisch
224.0.0.253           01-00-5e-00-00-fd     statisch
239.255.255.250       01-00-5e-7f-ff-fa     statisch

Falls du das meinst: das ist Multicast

Harilp · 26.01.2016, 20:25

Ist das schlimm?

Aber ich hab eher angst wegen den 10.0.0.xyz adressen?

cosinus · 26.01.2016, 20:38

Ich hab dir extra nen Artikel verlinkt, du fragst ob es schlimm sei

vllt mal erst lesen, dann fragen?

Die 10er Adressen sind aus dem privaten Bereich. Vermutlich hast du einen "verkrüppelten" Anschluss vom Provider der wegen IPv4-Adressmangel NAT betreiben muss.

Harilp · 26.01.2016, 20:43

Was ist NAT?

Und btw. Ich kann aus dem artikel leider nicht ganz sagen ob das gut oder böse ist. :c Bin leider sehr unerfahren auf diesem Gebiet.

Hoffe ich verärgere dich nicht durch unwissenheit etc.

cosinus · 26.01.2016, 20:45

Nein schon gut

aber: du musst lernen, etwas selbständig zu recherchieren. => http://lmgtfy.com/?q=NAT+wiki

Nimm dir ein Beispiel an Lörchen

Harilp · 26.01.2016, 21:08

Also alles nur falscher Alarm?weil das was du für mich gegoogelt hast lässts nämlich so aussehn

Aber was wenns ein echter angreifer war?:/

Weil X-Arp immer noch ca. Alle 5 min eskaliert und meldungen spamt

26.01.2016, 18:46	#8
Fragerin /// TB-Senior	Hilfe!!! wurde opfer von man in the middle angriff!! was nun? Dann gib doch mal die genaue Ausgabe von arp -a hier an. Zum Helfen braucht man immer möglichst konkrete und detaillierte Infos. __________________ Zum Schutz vor Trojanerinnen und Femaleware ist bei einem aktuellen Windows 10 die Windows-Defenderin ausreichend.

26.01.2016, 20:22	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Hilfe!!! wurde opfer von man in the middle angriff!! was nun? [gelöst] Code: ATTFilter 224.0.0.2 01-00-5e-00-00-02 statisch 224.0.0.252 01-00-5e-00-00-fc statisch 224.0.0.253 01-00-5e-00-00-fd statisch 239.255.255.250 01-00-5e-7f-ff-fa statisch Falls du das meinst: das ist Multicast __________________ Logfiles bitte immer in CODE-Tags posten

26.01.2016, 20:45	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Hilfe!!! wurde opfer von man in the middle angriff!! was nun? [gelöst] Nein schon gut aber: du musst lernen, etwas selbständig zu recherchieren. => http://lmgtfy.com/?q=NAT+wiki Nimm dir ein Beispiel an Lörchen __________________ Logfiles bitte immer in CODE-Tags posten

Hilfe!!! wurde opfer von man in the middle angriff!! was nun?

Alles rund um Windows: Hilfe!!! wurde opfer von man in the middle angriff!! was nun?

Problem: Hilfe!!! wurde opfer von man in the middle angriff!! was nun?