Hallo zusammen,
ich brauche mal wieder euere Hilfe. Ich habe das Gefühl, dass ich ein Opfer der ARP-Spoofing-Attacke bin. Ich habe gestern unter Windows Vista in der Kommandozeileneingabe (cmd) arp -a durchgeführt. Ausgegeben wurden etwa 20-30 Einträge. Diese sollten statisch angelegt sein (ich habe aber in die ARP-Tabelle nichts Statisches eingefügt, besser gesagt gar nichts eingefügt!). Das Komische ist, dass zu den IP-Adressen keine zugehörige MAC-Adresse zu sehen ist.
So siehts etwa aus:
Schnittstelle: x.x.x.x — 0x1e
Internetadresse Physikal. Adresse Typ
8.12.211.126 statisch
12.130.60.8 statisch
59.32.7.207 statisch
62.245.213.136 statisch
63.245.209.121 statisch
64.12.28.129 statisch
64.233.183.127 statisch
65.54.89.40 statisch
65.54.89.139 statisch
… …
Dann habe ich diese ARP-Tabelle mit „netsh interface ip clear arpcache“ gelöscht. Etwa nach 5 Sekunden werden diese Einträge automatisch wieder eingefügt.
Ich habe Wireshark gestartet um den Netzverkehr zu beobachten. Da ist mir aufgefallen, dass die Ziel-MAC-Adresse einer Webseite (ubabhängig welche Seite ich aufrufe), immer gleich bleibt. D.h. IP-Adressen ändern sich zwar für jede aufgerufene Webseite, doch die Ziel-MAC-Adresse bleibt immer gleich. D.h. doch, dass mein Verkehr immer an diese MAC-Adresse umgeleitet wird oder?
viele Grüße
Hitaf