ichwarjung | 07.12.2011 18:35 | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? Liste der Anhänge anzeigen (Anzahl: 1) Hallo,
ich hatte gestern in meiner Firewall die Warnung, dass ich Opfer eines ARP-Cache-Spoofings Angriffs geworden bin.
(Guter Artikel zu dem Thema: ARP-Grundlagen und Spoofing)
Ich habe mich dazu schlau gemacht und verstehe nun was das ARP Protokoll ist und dass es für die Zuordnung der IP Adressen zu Mac Adressen zuständig ist. Ich habe auch den Man-in-the-middle Angriff verstanden, der ja wohl an dieser Stelle stattgefunden hat?!
Das ist die große Frage?
Könnt ihr das einschätzen, was genau dort passiert ist und ob ich den Zwischenfall ernst nehmen soll, ich habe die Firewall erst neu installiert. Heute ist kein Angriff mehr gemeldet worden.
Meine IP zu dem Zeitpunkt lautete (Ziel): 192.168.2.105
Ich wäre sehr dankbar auch nur über eine kurze Antwort, was der Grund für diese Meldung gewesen sein KÖNNTE.
Danke euch!
Firewall: http://www.trojaner-board.de/attachm...1&d=1323278660
Logfile: HTML-Code:
<?xml version="1.0" encoding="utf-8" ?> <ESET>
<LOG>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:36:14</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>22:09:23</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Zeit">
<DATE>06.12.2011</DATE>
<TIME>21:41:12</TIME>
</COLUMN>
<COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN>
<COLUMN NAME="Quelle">192.168.2.113</COLUMN>
<COLUMN NAME="Ziel">192.168.2.105</COLUMN>
<COLUMN NAME="Protokoll">ARP</COLUMN>
<COLUMN NAME="Regel/Wurmname"></COLUMN>
<COLUMN NAME="Anwendung"></COLUMN>
<COLUMN NAME="Benutzer"></COLUMN>
</RECORD>
</LOG> </ESET> MAC-Hersteller Liste
hxxp://standards.ieee.org/develop/regauth/oui/oui.txt |