Telenet.be
De Netweters
Netweters statistieken
24804 netweters
152816 antwoorden
20742 vragen
6548 oplossingen
annuleren
Suggesties inschakelen
We tonen resultaten voor: 
Wil je enkel zoeken naar je eigen zoekterm, zonder synoniemen? Klik dan:     | Wil je enkel zoeken naar je eigen zoekterm (niet gecorrigeerd)? Klik dan: 
Bedoelde je: 
Beantwoorden
Lajos
Experienced Beetjesweter
Berichten: 5
‎25-11-2019 11:08
Netjes! Leesclubje starten? Primeur! Pageturner!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Hallo,

sinds een paar weken krijg ik meldingen (van ESET Internet Security*) dat er een conflict is met twee identieke IP's in mijn netwerk en daarmee aansluitend: een mogelijke ARP cachevergiftigingsaanval.

De dader zou mijn Digicorder zijn. Na wat zoeken merkte ik dat de Digicorder twee verschillende MAC-adressen gebruikt (68-63-59-xx-yy-zz, zoals ook op de sticker aangegeven staat EN zoals aangegeven in het scherm bij de IP-instellingen van de Digicorder, maar daarnaast ook 6A-63-59-xx-yy-zz). Om uit te sluiten dat EIS* een false positive gaf heb ik het ook nagekeken met een arp -a.

Als ik de Digicorder aanzet en die arp uitvoer krijg ik te zien dat het IP adres eerst aan het 'originele' MAC adres wordt toegewezen, maar als ik daarna de arp herhaal wordt hetzelfde IPadres aan het 'tweede' MACadres toegewezen en het eerste MACadres is uit de arp-tabel verdwenen.

Als ik met Wireshark naar het netwerkverkeer luister dan zie ik dat beide MAC-adressen een DHCP-aanvraag doen en wat later sturen ze beide een arp-reply dat ze gebruik maken van het (zelfde) bewuste IP.

image.PNG

 

Mijn vragen nu:

1: waarom gebruikt de Digicorder twee MAC's?

2: is het veilig om in de firewall van ESET een uitzonderingsregel te maken voor het bewuste IPadres?

Ik vond wel eerdere threads over dit onderwerp maar deze waren al gesloten....

10 reacties
Suzy
Community Manager Community Manager
Community Manager
Berichten: 7679
‎25-11-2019 12:17
Dat verdient een Gouden Uil! Slimme zet! Tag away, my dear! TAGGING MASTER!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

@Lajos jouw post werd even onterecht als spam gemarkeerd door ons platform. Heb deze na controle onmiddellijk live gezet op De Netweters. Sorry voor de eventuele verwarring! 


https://www.netweters.be/html/assets/Telenet%20logo%20signatures.pngSuzy
Community Manager
Vergeet niet om likes te geven en/of als oplossing te markeren.

0 Likes
Elly
Professional Weetjesweter
Berichten: 37
‎27-04-2020 23:55
Smile! All I want for X-mas is YOU Star Wars Day On a roll...

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Ik heb hetzelfde probleem, krijg deze melding verschillende keren per dag.

Ik heb daar helemaal geen verstand van, vraag me alleen af kan dat kwaad of kan ik het gewoon negeren en weg klikken, of nog beter hoe kan ik dat oplossen. 2020-03-26_094918.jpg2020-03-26_094908.jpg

Ex-Netweter
 
‎28-04-2020 09:24

ARP cachevergiftigingsaanval en Dubbele IP-adressen

@Lajos  schreef:

Na wat zoeken merkte ik dat de Digicorder twee verschillende MAC-adressen gebruikt (68-63-59-xx-yy-zz, zoals ook op de sticker aangegeven staat EN zoals aangegeven in het scherm bij de IP-instellingen van de Digicorder, maar daarnaast ook 6A-63-59-xx-yy-zz).

 

Mijn vragen nu:

1: waarom gebruikt de Digicorder twee MAC's?

Een digicorder heeft 2 MAC adressen, met de bedoeling om er ook 2 verschillende IP adressen te kunnen geven:

  1.  Het MAC adres 68:63:59 zou een IP moeten krijgen van Telenet via de WAN bridge. Dit is nodig voor de interactiviteit.
  2.  Het MAC adres 6A:63:59 moet een lokaal IP adres krijgen van de router (Telenet HGW). Dit wordt in de digicorder aangegeven als het "IN HOME" adres, en wordt gebruikt voor de DNLA functies van de digicorder.

Voor zover ik het begrijp, bevat de HGW dus een "Mac passtrough" tabel, met de lijst van de MAC adressen van al jouw digicorders (tenzij dit recent gewijzigd is, en hard-coded alle 68:63:59 op de WAN bridge komen).

 

Als de digicorder met zijn 68:63:59 MAC adres een DHCP request uitstuurt, wordt dit door de HGW direct op de WAN gezet (Mac passtrough), en krijgt de digicorder dus een IP adres van de Telenet DHCP servers (10.x.x.x). Hiermee wordt de interactiviteit ingesteld.

 

Als de digicoder met zijn 6A:63:59 MAC adres een DHCP request uitstuurt, wordt dit door de DHCP server van de HGW beantwoordt, en krijgt de digicorder zijn "IN HOME" IP adres (vb 192.168.0.192).

 

Indien jouw digicorder nu op beide MAC adressen hetzelfde lokaal IP krijgt, dan loopt het volgens mij verkeerd met de WAN bridge in de Telenet HGW??.

 

PS. Bovengenoemde processen kunnen recent gewijzigd zijn met de komst van de TV Box, gezien deze alleen op het lokaal netwerk aangesloten is, en de interactiviteit via de gewone internetverbinding werkt ...

Ik heb die laatste ontwikkelingen niet zo gevolgd ...

 

Noteer ook dat een combinatie digicorder/TV-Box niet ondersteund wordt.

Ploefie
Experienced Meerweter
Berichten: 100
In antwoord op Ex-Netweter
‎03-05-2020 14:58
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW, overzichtelijk! De volle 100!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Hallo, ik heb net hetzelfde probleem.

digicorder met 2 macadressen op hetzelfde ip.

fing gaf hier ook een dhcp probleem melding voor

0 Likes
Ploefie
Experienced Meerweter
Berichten: 100
In antwoord op Elly
‎03-05-2020 15:01
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW, overzichtelijk! De volle 100!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Spoiler
Ik heb dit probleem ook.

dit werd bij mij door fing gemeld als een router dhcp probleem: netwerk not HealthKit
0 Likes
Ploefie
Experienced Meerweter
Berichten: 100
In antwoord op Ex-Netweter
‎03-05-2020 15:09
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW, overzichtelijk! De volle 100!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Ook bij mij dit probleem.

ik heb ook safespot waarop 

1 macadres van de digicorder( niet hetgeen op de sticker)wordt als zijnde een Telenetdevice ondergeschikt en het tweede macadres( dat van de sticker onder de digicorder) wordt niet ondergedeeld bij telenet devices🙄, maar als een tablet aangeduid bij de apparaten « thuis zone »

de twee macadressen gebruiken hetzelfde ipadres. Idd wordt dit als arp poisining aanzien normaliter.

Fingscan wees me op dit probleem: your netwerk is not healthy, dhcp router problems 

 

 

0 Likes
Ploefie
Experienced Meerweter
Berichten: 100
‎03-05-2020 15:12
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW, overzichtelijk! De volle 100!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

Ik het hetzelfde probleem 

0 Likes
janne_man
Professional Superweter
Professional Superweter
Berichten: 5734
In antwoord op Elly
‎03-05-2020 17:40
Dat verdient een trofee! Een echt antwoordkanon jij! MVP, Most Valuable Poster! Jij alziend oog. ;-)

ARP cachevergiftigingsaanval en Dubbele IP-adressen

@Lajos 

@Elly 

Elke Digicorder heeft 2 ip adressen en ook twee mac adressen. Aanvaard dit als normaal. Als uw Eset firewall pas recentelijk een melding geeft, komt dit allicht door een update van de firewallregels van Eset. Maak maar gerust een regel om dir dubbel macadres van de Digicorder toe te laten.

 

Het 10.x.x.x adres is een adres op een lan vvan Telenet. Het 192.168.x.x adres is van belang als je meer dan één Digicorder of Digibox hebt. Hiermee kan je de opnames van het ene toestek op het andere zien .

StefaanH
Professional Superweter
Professional Superweter
Berichten: 5300
In antwoord op janne_man
‎03-05-2020 18:56
Dat verdient een trofee! Organisatietalent! Een echt antwoordkanon jij! MVP, Most Valuable Poster!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

@janne_man 

 

Het probleem is dat de digicorder op twee verschillende MAC adressen hetzelfde IP adres krijgt.


   StefaanH | Krak
    De Gustibus et Coloribus non est disputandum.
      Vergeet niet om likes te geven en/of als oplossing te markeren.
Ploefie
Experienced Meerweter
Berichten: 100
In antwoord op StefaanH
‎04-05-2020 12:47
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW, overzichtelijk! De volle 100!

ARP cachevergiftigingsaanval en Dubbele IP-adressen

inderdaad, ik heb slechts 1 digicorder, waarvan de twee macadressen hetzelfde ip gebruiken: een 192.168.0.XXX adres, absoluut geen:10.XXXX.

Het probleem doet zich trouwens bij mij voor sinds een kleine week.

In mijn safespot app staat  digicorder& macadres( niet dat van de stickers met net de eerste digit verschillend als dat van de sticker) bij de telenet-zone-toestellen en het andere macadres van de digicorder ( dat van de sticker) niet bij de telenet-zone toestellen, maar als zijnde een tablet(icoon) in de thuis-zone. Deze wordt dus blijkbaar niet herkend alszijnde een toestel van telenet.

Ik heb deze laatste (macadres overeenstemmend met sticker maar niet in telenet-zone toestellen- als test eens geblokkeerd in safespot-app en bij de geblokkeerde toestellen gezet in de safespot app.

Dit maakt geen verschil in het gebruik van de digicorder...deze werkt zoals gewoonlijk, is interactief en ik krijg ook geen dhcp-unhealthy problem meer gemeld via Fing desktopversie.

0 Likes