Hallo liebe Community.
Seit kurzem meldet mein Arbeitsrechner, dass es eine Bedrohung ausgehend von meinem Homee ans Netzwerk gesendet wird. (ARP Cache Poisoning-Angriff)
Ich kenn mich mit so etwas leider nicht sehr gut aus und wollte fragen, ob jemand so etwas ähnliches auch schon einmal hatte.
LG Daniel
Hier ein Artikel zu dem „Angriff“:
Ich bin nun nicht unbedingt der Netzwerkexperte, würde aber annehmen, dass das Sicherheitstool auf Deinem Rechner die Nachrichten vom homee auffängt, die er aussendet, damit die Handys ihn im lokalen Netzwerk anhand seiner MacAdresse finden und nicht über den Proxy gehen müssen. Ich würde diese Meldung für die IP des homee in Deinem Programm auf dem Rechner blockieren.
Hi. Bei mir war das, als ich meinen neuen Server/NAS von Synology laufen hatte.
Bist du sicher das es bei Dir vom Homee kommt? Ich habe nämlich auch eset, und hatte bzgl. homee noch nie so eine Meldung!
Hallo Daniel,
dein Screenshot zeigt leider nur die Popup-Meldung.
Bitte öffne eset und schau mal in die Logs, da wirst Du sicher näheres zur Meldung finden
z.Bsp. welche(r) „Computer“ für den ARP Cache Poisoning-Angriff verantwortlich ist.
Oder hast Du das schon, weil Du sagst, es wäre dein homee?
„Gern“ tritt soetwas bei doppelt vergebeben IPs auf…
Ja tatsächlich taucht der Homee zweimal in meiner Heimnetzwerkliste auf. Wie kann ich das denn vermeiden oder beseitigen?
Ja ich habe die IP Adresse überprüft und es ist der Homee Würfel und nicht meine vorhandene NAS von Synology.
Seit dem 29.12 taucht immer wieder diese Meldung auf:
Es sind mittlerweile 818 Meldungen. Diese gehen von meinem Homee aus. Die IP Adresse stimmt überein.
Der homee holt sich doch seine Netzwerkadresse per DHCP. Kannst Du nicht in den DHCP-Einstellungen (wahrscheinlich in Deinem Router) eine fixe IP aber eine andere als die jetzige für den homee eintragen. Dann homee neustarten. Nur so ein Schuß ins Blaue.
Das kann ich leider nicht mit meinem Speedport W724V der Telekom. Nur ausserhalb der IP Range.
Bitte poste mal die ganze Ausgabe eines Logeintrags.
Entweder Rechtsklick und „Anzeigen“ oder Maus etwas länger über einen Eintrag halten und Screenshot machen.
UND - don`t panic!!! Dass das Ereignis alle paar Sekunden auftritt ist wenn, dann zwar nicht i.O., aber verständlich…
EDIT: Bitte auch nicht an irgendwelchen Dingen „herumdoktern“, bevor wir die Ursache der Meldung nicht kennen!
Siehste, sag ich doch, die IP 192.168.2.112 ist in deinem Netzwerk wohl doppelt, also an 2 verschiedene Netzwerkgeräte, vergeben…
An
MAC 00:05:51:0d:97:be
Den OUI 00:05:51 hat das IEEE vergeben an
F & S Elektronik Systeme GmbH
Untere Waldplaetze 23
Stuttgart 70569
DE
das dürfte wohl der homee sein…
und an
MAC 00:0e:c6:a8:f5:c6
Den OUI 00:0e:c6 hat das IEEE vergeben an
ASIX ELECTRONICS CORP.
4F, NO.8, HSIN ANN RD.,
HSINCHU 300
TW
das wird schwieriger zu finden sein…
Ich würde den homee herunterfahren und sehen, „wen“ ich unter der o.g. IP dann erreiche.
Ob und wie man dieses Gerät erreichen kann, kann ich jetzt so unbesehen leider schwer sagen.
Oder Du machst es andersherum und schaltest reihum andere Netzwerkgeräte ab oder trennst sie irgendwie anders vom Netzwerk und schaust, wann die Meldung aufhört.
Was wurde da evtl. geändert in deinem Netzwerk?
Sind neue Geräte da in Betrieb genommen worden?
Edit:
ASIX ELECTRONICS CORP. produziert z.Bsp. Chips für einen LAN-Adapter für die Nintendo Wii, gab’s da evtl. was zu Weihnachten???
Entschuldigt bitte das lange Schweigen. Wir hatten eine seeeehr lange krankheitswelle…
Also ich habe mittlerweile herausgefunden, dass Homee irgendwie zweimal bei mir auftaucht…
Keine Ahnung, wie das zustande kommt und wie ich das Problem beheben kann. Ich werde heute mal den Homee herunterfahren und schauen, welche IP Übrig bleibt…
