Arp-Spoofing?

Hallo zusammen,

ich brauche mal wieder euere Hilfe. Ich habe das Gefühl, dass ich ein Opfer der ARP-Spoofing-Attacke bin. Ich habe gestern unter Windows Vista in der Kommandozeileneingabe (cmd) arp -a durchgeführt. Ausgegeben wurden etwa 20-30 Einträge. Diese sollten statisch angelegt sein (ich habe aber in die ARP-Tabelle nichts Statisches eingefügt, besser gesagt gar nichts eingefügt!). Das Komische ist, dass zu den IP-Adressen keine zugehörige MAC-Adresse zu sehen ist.

So siehts etwa aus:

Schnittstelle: x.x.x.x — 0x1e
Internetadresse Physikal. Adresse Typ
8.12.211.126 statisch
12.130.60.8 statisch
59.32.7.207 statisch
62.245.213.136 statisch
63.245.209.121 statisch
64.12.28.129 statisch
64.233.183.127 statisch
65.54.89.40 statisch
65.54.89.139 statisch
… …

Dann habe ich diese ARP-Tabelle mit „netsh interface ip clear arpcache“ gelöscht. Etwa nach 5 Sekunden werden diese Einträge automatisch wieder eingefügt.

Ich habe Wireshark gestartet um den Netzverkehr zu beobachten. Da ist mir aufgefallen, dass die Ziel-MAC-Adresse einer Webseite (ubabhängig welche Seite ich aufrufe), immer gleich bleibt. D.h. IP-Adressen ändern sich zwar für jede aufgerufene Webseite, doch die Ziel-MAC-Adresse bleibt immer gleich. D.h. doch, dass mein Verkehr immer an diese MAC-Adresse umgeleitet wird oder?

viele Grüße
Hitaf

die Ziel-MAC-Adresse bleibt immer gleich. D.h.
doch, dass mein Verkehr immer an diese MAC-Adresse umgeleitet
wird oder?

Über diese Adresse geleitet, nicht zu ihr umgeleitet. Die Ziel-MAC-Adresse ist in einem gerouteten Netz immer die MAC-Adresse des nächsten Hops, in dem Fall also wahrscheinlich die deines eigenen Routers. Alles im grünen Bereich.

Gruß

Danke für deine Antwort.

und warum werden diese ARP-Einträge automatisch eingefügt und warum sind die zu den IP-Adressen gehörenden MAC-Adressen nicht zu sehen?

Gruß

und warum werden diese ARP-Einträge automatisch eingefügt und
warum sind die zu den IP-Adressen gehörenden MAC-Adressen
nicht zu sehen?

An welche Schnittstelle sind die Einträge denn gebunden? Deine Paranoia, die Schnittstellendaten (x.x.x.x) hier preiszugeben, ist vollständig unbegründet. Wenn überhaupt einer diese Daten gegen dich weiterverwenden kann, so sitzt er in einer Position, in der er dir auch gleich einen Klapps geben kann. Du solltest die Ausgabe von arp vollständig und unverändert dokumentieren.

Gruß

Hallo,

hier ist die vollständige Ausgabe ohne irgendwelche Änderung

Schnittstelle: 169.254.116.169 — 0xa
Internetadresse Physikal. Adresse Typ
169.254.255.255 ff-ff-ff-ff-ff-ff statisch
224.0.0.22 01-00-5e-00-00-16 statisch
224.0.0.252 01-00-5e-00-00-fc statisch
239.255.255.250 01-00-5e-7f-ff-fa statisch
255.255.255.255 ff-ff-ff-ff-ff-ff statisch

78.34.219.223 ist die Schnittstelle fürs Internet

Schnittstelle: 78.34.219.223 — 0x1e
Internetadresse Physikal. Adresse Typ
0.0.0.0 statisch
4.23.49.126 statisch
4.23.50.123 statisch
8.12.211.126 statisch
12.130.60.8 statisch
59.32.7.207 statisch
62.146.49.133 statisch
62.245.213.136 statisch
63.245.209.121 statisch
64.4.52.182 statisch
64.12.28.129 statisch
64.233.183.127 statisch
65.54.89.40 statisch
65.54.89.139 statisch
65.54.239.140 statisch
65.55.22.252 statisch
65.55.149.121 statisch
65.55.197.114 statisch
65.55.197.115 statisch
65.55.197.125 statisch
65.55.197.247 statisch
65.55.197.248 statisch
65.55.249.68 statisch
66.112.210.103 statisch
66.151.148.100 statisch
66.249.91.100 statisch
66.249.91.101 statisch
66.249.91.102 statisch
66.249.91.113 statisch
66.249.91.127 statisch
66.249.93.104 statisch
68.177.102.20 statisch
69.63.176.44 statisch
69.63.176.165 statisch
69.63.184.28 statisch
72.14.221.104 statisch
72.18.205.210 statisch
74.54.19.82 statisch
74.54.25.66 statisch
74.125.8.146 statisch
74.125.8.149 statisch
74.125.8.155 statisch
74.125.77.99 statisch
74.125.77.103 statisch
74.125.77.104 statisch
74.125.77.127 statisch
74.125.77.147 statisch
74.201.34.1 statisch
75.126.203.68 statisch
77.74.239.167 statisch
77.244.242.214 statisch
77.244.242.216 statisch
78.46.65.48 statisch
80.237.227.140 statisch
80.237.227.187 statisch
81.95.1.72 statisch
83.149.73.19 statisch
83.170.105.206 statisch
84.53.182.8 statisch
84.53.182.11 statisch
84.53.182.49 statisch
84.53.182.51 statisch
84.53.182.56 statisch
85.10.200.140 statisch
85.10.201.88 statisch
85.111.0.237 statisch
85.111.0.249 statisch
85.111.0.250 statisch
85.111.12.3 statisch
85.131.189.225 statisch
85.131.244.110 statisch
89.106.31.50 statisch
89.149.226.112 statisch
89.149.242.17 statisch
91.121.118.139 statisch
91.121.149.117 statisch
91.191.161.197 statisch
91.191.161.200 statisch
92.122.212.112 statisch
92.122.212.146 statisch
92.122.212.208 statisch
92.122.212.211 statisch
92.122.212.218 statisch
92.122.212.219 statisch
92.122.213.10 statisch
92.122.213.17 statisch
92.122.213.18 statisch
92.122.213.32 statisch
92.122.213.34 statisch
92.122.213.35 statisch
129.206.61.242 statisch
131.107.44.1 statisch
192.88.99.1 statisch
192.228.79.201 statisch
193.28.192.229 statisch
193.28.195.17 statisch
193.46.63.130 statisch
193.192.100.145 statisch
193.218.155.53 statisch
193.218.155.108 statisch
194.8.194.60 statisch
194.8.194.213 statisch
194.8.194.214 statisch
194.8.194.219 statisch
194.8.194.221 statisch
194.8.194.222 statisch
194.8.194.223 statisch
194.8.194.231 statisch
194.95.66.8 statisch
195.24.78.49 statisch
195.179.163.72 statisch
198.78.208.126 statisch
202.97.238.228 statisch
204.160.120.125 statisch
205.128.90.126 statisch
205.188.153.121 statisch
206.18.166.15 statisch
206.33.34.126 statisch
206.225.95.62 statisch
207.46.26.253 statisch
207.46.109.58 statisch
207.46.113.220 statisch
207.46.131.206 statisch
207.46.250.101 statisch
207.46.250.103 statisch
207.123.34.126 statisch
209.34.86.79 statisch
209.62.178.57 statisch
212.95.32.75 statisch
212.117.160.105 statisch
212.117.160.177 statisch
212.154.38.202 statisch
212.154.38.208 statisch
213.74.20.117 statisch
213.74.20.118 statisch
213.74.20.120 statisch
213.144.108.194 statisch
213.144.108.195 statisch
213.144.108.196 statisch
213.144.108.197 statisch
213.144.108.198 statisch
213.144.108.199 statisch
213.144.108.200 statisch
213.144.108.201 statisch
213.144.108.202 statisch
213.144.108.203 statisch
213.144.108.204 statisch
213.144.108.205 statisch
213.144.108.206 statisch
213.144.108.207 statisch
213.168.112.60 statisch
213.199.162.202 statisch
213.238.59.241 statisch
213.238.59.242 statisch
213.238.59.243 statisch
213.244.183.221 statisch
216.73.84.103 statisch
216.73.84.111 statisch
216.239.59.104 statisch
217.110.115.101 statisch
217.110.202.179 statisch
217.212.240.172 statisch
224.0.0.22 statisch
224.0.0.252 statisch
239.255.255.250 statisch
255.255.255.255 statisch

Gruß

MAC = lokales Netzwerk (Broadcast-Domäne). Bei keinem TCP/IP-Paket aus dem Internet wirst du eine MAC-Adresse des Absenders finden, denn die ist schlicht wurscht. Die MAC-Adresse dient ausschließlich dazu, im _lokalen_ Netzwerk Hosts zu finden und Pakete zu verteilen (an Switches) - auch wenn kein höheres Protokoll (TCP/IP, IPX, Ethertalk) läuft, Gebrauch davon macht z.B. das DHCP- und das BootP-Protokol.
Das Windows nu alle aufgelösten IP-Adressen der MAC deines Routers/Gateways zuordnet, ist zwar erheiternd, aber nicht weiter von Belang.

Das Windows nu alle aufgelösten IP-Adressen der MAC deines
Routers/Gateways zuordnet, ist zwar erheiternd,

Wer weiss, vielleicht findet jemand mal einen Exploit, wie man „arp -a“ auf Windowskisten per Browser auflöst. Vermutlich zahlt die Werbeindustrie zuerst, weitere zuzweit …

HTH,

Sebastian

Es ist denkbar, wenn auch wenig sinnvoll, dass ein Schadprogramm eine virtuelle Netzwerkschnittstelle anlegt und über statische Einträge im arp-Cache bestimmte Adressen über diese virtuelle Schnittstelle routet. Auf diese Weise würden z. B. DNS-Anfragen nach einem bestimmten Host eine korrekte Antwort zurückliefern, jeder direkte Zugriff auf diesen Host aber könnte unbemerkt nach Belieben umgeleitet werden.

Allerdings müsste ein solches Schadprogramm mindestens noch den traceroute-Befehl abfangen und das virtuelle Gerät vor dem Anwender verbergen. Ich denke nicht, dass der so erreichbare Nutzen den erforderlichen Aufwand rechtfertigte. Auch dürften die Bindungen der Adressen im arp-Cache eben nicht auf die wohlbekannte Schnittstelle verweisen.

Scheinbar versucht Vista unter bestimmten Bedingungen (pppoe?) einen eigenen routing cache zu realisieren, so dass Anfragen auf bestimmte Hosts direkt an den nächsten Zielknoten (den beim Privatanwender ewig gleichen nächsten Hop) weitergeleitet werden können, statt zunächst mit Windows-typischem Getöse und Broadcast-Geschrei diesen Zielknoten ermitteln zu müssen. Völlig sinnfrei, aber - ich darf hier Hermann zitieren - erheiternd.

Gruß

Es ist denkbar, wenn auch wenig sinnvoll, dass ein
Schadprogramm eine virtuelle Netzwerkschnittstelle anlegt und
über statische Einträge im arp-Cache bestimmte Adressen über
diese virtuelle Schnittstelle routet. Auf diese Weise würden
z. B. DNS-Anfragen nach einem bestimmten Host eine korrekte
Antwort zurückliefern, jeder direkte Zugriff auf diesen Host
aber könnte unbemerkt nach Belieben umgeleitet werden.

Virtuelle Schnittstelle? Ich habe mal ipconfig ausgeführt und habe festgestellt, dass meine LAN-Schnittstelle, über die ich mich ins Internet einwähle, eine andere IP hat (169.254.116.169), als die von der pppoe Schnittstelle (pppoe geht ja eigentlich über diese LAN-Schnittstelle 87.79.53.38). Und ich habe viele Tunneladapter, die ich nicht selber installiert habe (kein openvpn oder sowas!). Sind die Tunneladapter in Vista standardmäßig installiert oder wie?

Ich finde die Ausgabe wirklich merkwürdig.

PPP-Adapter netc:

Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : 87.79.53.38
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::d840:31d8:84d8:74a9%10
IPv4-Adresse (Auto. Konfiguration): 169.254.116.169
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :

Tunneladapter LAN-Verbindung* 6:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 13:

Verbindungsspezifisches DNS-Suffix:
IPv6-Adresse. . . . . . . . . . . : 2001:0:d5c7:a2ca:89a:295d:b1dd:2420
Verbindungslokale IPv6-Adresse . : fe80::89a:295d:b1dd:2420%17
Standardgateway . . . . . . . . . :

Tunneladapter LAN-Verbindung* 10:

Verbindungsspezifisches DNS-Suffix:
Standardgateway . . . . . . . . . :

Tunneladapter LAN-Verbindung* 15:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 19:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 20:

Verbindungsspezifisches DNS-Suffix:
IPv6-Adresse. . . . . . . . . . . : 2002:574f:3526::574f:3526
Standardgateway . . . . . . . . . : 2002:c058:6301::c058:6301

Gruß

habe festgestellt, dass meine LAN-Schnittstelle, über die ich
mich ins Internet einwähle, eine andere IP hat
(169.254.116.169), als die von der pppoe Schnittstelle (pppoe
geht ja eigentlich über diese LAN-Schnittstelle 87.79.53.38).

Dein Rechner steht aus Sicht des Betriebssystems zwischen zwei Netzen, dem Internet und dem internen Netz (du magst das anders sehen, besonders wenn du intern keine weiteren Geräte über IP ansteuerst). Dafür reicht schon, dass der Rechner zusätzlich zu pppoe ein weiteres nicht deaktiviertes Netzwerkinterface besitzt. Das erklärt dann auch, warum Vista im Arp-cache eine Routing-Tabelle aufbaut.

Und ich habe viele Tunneladapter, die ich nicht selber
installiert habe (kein openvpn oder sowas!). Sind die
Tunneladapter in Vista standardmäßig installiert oder wie?

Ich kenne mich mit IPv6 nicht aus und kann daher nicht beurteilen, ob die Art, wie dies in Vista realisiert ist, sinnvoll ist oder welchem Zweck diese Tunneladapter dienen. Sie werden jedenfalls von Vista angelegt und lassen sich nicht ohne weiteres rausschmeissen. In http://www.chicagotech.net/netforums/viewtopic.php?p… ist in Punkt II. erläutert, wie du IPv6 von bestimmten Schnittstellen entbindest. Dies zu tun ist sehr sinnvoll, eigentlich sogar obligatorisch für jede Schnittstelle, an der du sicher kein IPv6 benötigst. Ob du’s gleich ganz deaktivierst, wie in I. beschrieben, ist Geschmackssache.

Gruß

Dann hat sich ja der Fall erledigt. Ich bedanke mich für euere Hilfe.