De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Beantwoorden
Lajos
Freshman Beetjesweter
Berichten: 2
Primeur! De kop is eraf! En we zijn vertrokken! Netjes!

Hallo,

sinds een paar weken krijg ik meldingen (van ESET Internet Security*) dat er een conflict is met twee identieke IP's in mijn netwerk en daarmee aansluitend: een mogelijke ARP cachevergiftigingsaanval.

De dader zou mijn Digicorder zijn. Na wat zoeken merkte ik dat de Digicorder twee verschillende MAC-adressen gebruikt (68-63-59-xx-yy-zz, zoals ook op de sticker aangegeven staat EN zoals aangegeven in het scherm bij de IP-instellingen van de Digicorder, maar daarnaast ook 6A-63-59-xx-yy-zz). Om uit te sluiten dat EIS* een false positive gaf heb ik het ook nagekeken met een arp -a.

Als ik de Digicorder aanzet en die arp uitvoer krijg ik te zien dat het IP adres eerst aan het 'originele' MAC adres wordt toegewezen, maar als ik daarna de arp herhaal wordt hetzelfde IPadres aan het 'tweede' MACadres toegewezen en het eerste MACadres is uit de arp-tabel verdwenen.

Als ik met Wireshark naar het netwerkverkeer luister dan zie ik dat beide MAC-adressen een DHCP-aanvraag doen en wat later sturen ze beide een arp-reply dat ze gebruik maken van het (zelfde) bewuste IP.

image.PNG

 

Mijn vragen nu:

1: waarom gebruikt de Digicorder twee MAC's?

2: is het veilig om in de firewall van ESET een uitzonderingsregel te maken voor het bewuste IPadres?

Ik vond wel eerdere threads over dit onderwerp maar deze waren al gesloten....

10 reacties
Suzy
Community Manager
Berichten: 3495
Happy New Year! It's your fifth party! De gouden postveer is voor jou Netweters’ orakel!

@Lajos jouw post werd even onterecht als spam gemarkeerd door ons platform. Heb deze na controle onmiddellijk live gezet op De Netweters. Sorry voor de eventuele verwarring! 


https://www.netweters.be/html/assets/Telenet%20logo%20signatures.pngSuzy | Community Manager

Without music, life would be a mistake. - Nietzsche

Vergeet niet om likes te geven en/of als oplossing te markeren.

0 Likes
Elly
Freshman Weetjesweter
Berichten: 12
It's your fourth party! Leesbeest! Primeur! Goed gevonden!

Ik heb hetzelfde probleem, krijg deze melding verschillende keren per dag.

Ik heb daar helemaal geen verstand van, vraag me alleen af kan dat kwaad of kan ik het gewoon negeren en weg klikken, of nog beter hoe kan ik dat oplossen. 2020-03-26_094918.jpg2020-03-26_094908.jpg

philippe_d
Professional Bijna Allesweter
Berichten: 942
Ongelooflijk (maar waar)! Volop in the game! Happy New Year! Alles op zijn plek!

@Lajos  schreef:

Na wat zoeken merkte ik dat de Digicorder twee verschillende MAC-adressen gebruikt (68-63-59-xx-yy-zz, zoals ook op de sticker aangegeven staat EN zoals aangegeven in het scherm bij de IP-instellingen van de Digicorder, maar daarnaast ook 6A-63-59-xx-yy-zz).

 

Mijn vragen nu:

1: waarom gebruikt de Digicorder twee MAC's?


Een digicorder heeft 2 MAC adressen, met de bedoeling om er ook 2 verschillende IP adressen te kunnen geven:

  1.  Het MAC adres 68:63:59 zou een IP moeten krijgen van Telenet via de WAN bridge. Dit is nodig voor de interactiviteit.
  2.  Het MAC adres 6A:63:59 moet een lokaal IP adres krijgen van de router (Telenet HGW). Dit wordt in de digicorder aangegeven als het "IN HOME" adres, en wordt gebruikt voor de DNLA functies van de digicorder.

Voor zover ik het begrijp, bevat de HGW dus een "Mac passtrough" tabel, met de lijst van de MAC adressen van al jouw digicorders (tenzij dit recent gewijzigd is, en hard-coded alle 68:63:59 op de WAN bridge komen).

 

Als de digicorder met zijn 68:63:59 MAC adres een DHCP request uitstuurt, wordt dit door de HGW direct op de WAN gezet (Mac passtrough), en krijgt de digicorder dus een IP adres van de Telenet DHCP servers (10.x.x.x). Hiermee wordt de interactiviteit ingesteld.

 

Als de digicoder met zijn 6A:63:59 MAC adres een DHCP request uitstuurt, wordt dit door de DHCP server van de HGW beantwoordt, en krijgt de digicorder zijn "IN HOME" IP adres (vb 192.168.0.192).

 

Indien jouw digicorder nu op beide MAC adressen hetzelfde lokaal IP krijgt, dan loopt het volgens mij verkeerd met de WAN bridge in de Telenet HGW??.

 

PS. Bovengenoemde processen kunnen recent gewijzigd zijn met de komst van de TV Box, gezien deze alleen op het lokaal netwerk aangesloten is, en de interactiviteit via de gewone internetverbinding werkt ...

Ik heb die laatste ontwikkelingen niet zo gevolgd ...

 

Noteer ook dat een combinatie digicorder/TV-Box niet ondersteund wordt.

Ploefie
Experienced Meerweter
Berichten: 100
Meer goede raad dan tante Kaat De volle 100! Goed gevonden! Say what?!

Hallo, ik heb net hetzelfde probleem.

digicorder met 2 macadressen op hetzelfde ip.

fing gaf hier ook een dhcp probleem melding voor

0 Likes
Ploefie
Experienced Meerweter
Berichten: 100
Meer goede raad dan tante Kaat De volle 100! Goed gevonden! Say what?!
Spoiler
Ik heb dit probleem ook.

dit werd bij mij door fing gemeld als een router dhcp probleem: netwerk not HealthKit
0 Likes
Ploefie
Experienced Meerweter
Berichten: 100
Meer goede raad dan tante Kaat De volle 100! Goed gevonden! Say what?!

Ook bij mij dit probleem.

ik heb ook safespot waarop 

1 macadres van de digicorder( niet hetgeen op de sticker)wordt als zijnde een Telenetdevice ondergeschikt en het tweede macadres( dat van de sticker onder de digicorder) wordt niet ondergedeeld bij telenet devices🙄, maar als een tablet aangeduid bij de apparaten « thuis zone »

de twee macadressen gebruiken hetzelfde ipadres. Idd wordt dit als arp poisining aanzien normaliter.

Fingscan wees me op dit probleem: your netwerk is not healthy, dhcp router problems 

 

 

0 Likes
Ploefie
Experienced Meerweter
Berichten: 100
Meer goede raad dan tante Kaat De volle 100! Goed gevonden! Say what?!

Ik het hetzelfde probleem 

0 Likes
janne_man
Professional Meesterweter
Berichten: 3378
Netweters’ orakel! PhD in problem solving! Jij bent een ware apostel. Full speed writing!

@Lajos 

@Elly 

Elke Digicorder heeft 2 ip adressen en ook twee mac adressen. Aanvaard dit als normaal. Als uw Eset firewall pas recentelijk een melding geeft, komt dit allicht door een update van de firewallregels van Eset. Maak maar gerust een regel om dir dubbel macadres van de Digicorder toe te laten.

 

Het 10.x.x.x adres is een adres op een lan vvan Telenet. Het 192.168.x.x adres is van belang als je meer dan één Digicorder of Digibox hebt. Hiermee kan je de opnames van het ene toestek op het andere zien .


   janne_man | Krak
    In het land der blinden is eenoog koning.
      Vergeet niet om likes te geven en/of als oplossing te markeren.

StefaanH
Experienced Meesterweter
Berichten: 2557
Applaus voor jezelf! Happy New Year! Vraagbaakkampioen! PS: 2500 posts. Indrukwekkend!

@janne_man 

 

Het probleem is dat de digicorder op twee verschillende MAC adressen hetzelfde IP adres krijgt.


   StefaanH | Krak
    De Gustibus et Coloribus non est disputandum.
      Vergeet niet om likes te geven en/of als oplossing te markeren.
Ploefie
Experienced Meerweter
Berichten: 100
Meer goede raad dan tante Kaat De volle 100! Goed gevonden! Say what?!

inderdaad, ik heb slechts 1 digicorder, waarvan de twee macadressen hetzelfde ip gebruiken: een 192.168.0.XXX adres, absoluut geen:10.XXXX.

Het probleem doet zich trouwens bij mij voor sinds een kleine week.

In mijn safespot app staat  digicorder& macadres( niet dat van de stickers met net de eerste digit verschillend als dat van de sticker) bij de telenet-zone-toestellen en het andere macadres van de digicorder ( dat van de sticker) niet bij de telenet-zone toestellen, maar als zijnde een tablet(icoon) in de thuis-zone. Deze wordt dus blijkbaar niet herkend alszijnde een toestel van telenet.

Ik heb deze laatste (macadres overeenstemmend met sticker maar niet in telenet-zone toestellen- als test eens geblokkeerd in safespot-app en bij de geblokkeerde toestellen gezet in de safespot app.

Dit maakt geen verschil in het gebruik van de digicorder...deze werkt zoals gewoonlijk, is interactief en ik krijg ook geen dhcp-unhealthy problem meer gemeld via Fing desktopversie.

0 Likes