Ip-Spoofing - Verbindung unterbrochen

#1 Hallo Ihr Sicherheitsgötter !

Ich hab gerade die oberkrise, vor 2 tagen den PC neu aufgesetzt, und seit gestern nacht hab ich nun immer IP-Spoofing-Attacken, die dann auch gleich meine Internet-Verbindung stören:

Log von heut Nacht (Problem hält an):

00:49:46 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-07-00 (255.255.255.255) manipuliert seine IP-Adressen.
00:37:27 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-06-00 (255.255.255.255) manipuliert seine IP-Adressen.
00:06:14 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-05-00 (255.255.255.255) manipuliert seine IP-Adressen.
00:02:45 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-04-00 (255.255.255.255) manipuliert seine IP-Adressen.
15.10.2005 23:55:48 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-03-00 (255.255.255.255) manipuliert seine IP-Adressen.
15.10.2005 23:49:39 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-02-00 (255.255.255.255) manipuliert seine IP-Adressen.
15.10.2005 23:46:46 Host manipuliert seine IP-Adressen. IP-Spoofing erkannt. Host 7E-93-20-00-01-00 (255.255.255.255) manipuliert seine IP-Adressen.
15.10.2005 15:22:13 Report erkannter Angriffe Es wurde eine Denial of Service Attacke entdeckt
15.10.2005 15:11:24 Report erkannter Angriffe Es wurde eine Denial of Service Attacke entdeckt
15.10.2005 15:00:21 Report erkannter Angriffe Es wurde eine Denial of Service Attacke entdeckt


Die DoS Attacken war ich schon länger gewohnt, aber wurden ja immer -scheinbar - abgewehrt. Aber wenn eine solche IP-Spoofing - Attacke kommt, läuft die DSL-Verbindung (Ohne Router) "offiziell" weiter, aber nichts geht mehr, kein http, kein gar nichts. (Der Status der Verbindung gibt aber vor, daß noch pakete reinkommen, merken tu ich davon aber nichts).
Bei diesen Spoofing Attacken ist die MAC auch oft eine andere, aber die pseudo IP 255.255.255.255 ist immer die gleiche.

Bitte Bitte hilft mir dagegen was zu tun. Ich würd mich nicht als DAU bezeichnen, aber so langsam zweifle ich an mir.
Paketfiltermässig fühl ich mich auch machtlos, da kein Port geschweige dann ein Protokoll angegeben ist, was ich blocken könnte.


System:

WinXP Pro SP2 (vor 2 Tagen neu installiert - davor keine Probleme)
Norton Antivirus 2005
Outpost Pro 3.0.543.5722 (431) Firewall

oh und ich hab azureus an, und hatte erst die Idee daß es von einem torrent kommt, nachdem ich ihn aushatte wurde es aber auch nicht besser. Jetzt hab ich Azureus aus und es scheint zu laufen - aber ich möchte natürlich nicht auf azureus verzichten

Ich hoffe einer von euch kann mir helfen !!!

viele Grüße,
LongJohn

#2 moin, moin...
ich habe das gleiche phänomen.
es tritt auf beim suchen von musikdateien mit soulseek (slsknet.org)
und beim nutzen des server-browsers des spiels battlefield2.

system:
winxp pro sp2
symantec antivirus 10.0.0.359
outpost firewall pro ver. 3.0.543.5722 (431)

vielleicht macht outpost nur aus einer mücke einen elefanten...

bis denne...
mascha

http://www.bsi.bund.de/gshb/deutsch/g/g05048.html
http://de.wikipedia.org/wiki/IP-Spoofing

#3 Hallo,
welche MAC-Adressen haben denn DSL-Router und der Rechner?
(einfach in der Konsole mit "arp -a" den arp-cache auslesen)
Sind noch weitere Computer am Netzwerk angeschlossen?
Es sieht so aus, als ob der Router seine MAC-Adresse wechselt (warum auch immer).
Ich kenne mich mit der Outpost Firewall nicht aus, aber es sieht so aus, als ob sie darauf achtet, ob ein Netzwerkgerät eine IP-Adresse verwendet, die schon zu einer anderen MAC-Adresse gemapt ist.
Ich würde empfehlen, den IP-Spoofing Schutz auszuschalten, da eine solche Erkennung über den Router sowieso nicht funktionieren würde.

Viel Glück,
deca

#4 @ deca

es ist kein router involviert, sondern passiert mit einer direkten pppoe verbindung zum modem.
Ich habe jetzt eine die KPF installiert und outpost wieder rausgeschmissen, damit scheint es (jedenfalls schon 18 stunden) zu funktionieren.
Das komische ist, (jedenfalls in meinem falle), daß ich überhaupt kein LAN habe, nicht mal eine VM mit der kommuniziert wird. also wie kann überhaupt ein broadcast gesendet werden ?? so ein mist...

#5 Ich frage mich nur, woher die verschiedene MAC-Adressen (7E-93-20-00-01-00 usw.) herkommen.
Ich würde vermuten, dass die Firewall nicht (nur) die Pakete überwacht hat, die in den PPPoE Paketen gekapselt sind, sondern direkt die Ethernetframes, die über die Leitung kommen.
Wenn die DSL-Verbindung aufgebaut wird, sendet der Rechner ja ein PADI (PPPoE Active Discovery Initiation) Packet mit seiner MAC, worauf der / die Konzentratoren ein PADO (PPPoE Active Discovery Offer) Packet senden. Dieses Paket enthält die MAC-Adresse des Konzentrators, und eine IP-Adresse ist hier nicht mit im Spiel, daher könnte ich mir vorstellen, das die von der Firewall angezeigten MACs von den Konzentratoren stammen. Die Firewall zeigt dann wohl die Broadcast IP an, weil es für die MAC keine IP gibt. Das sollte aber eigentlich nicht als IP-Spoofing erkannt werden.
Wahrscheinlich kommen die MACs aus einem anderen Grund zustande...

#6 Hi

Decas Antwort erscheint mir auch am wahrscheindlichsten. Denn das Dslam überträgt ja keine MAC.

http://de.wikipedia.org/wiki/DSLAM

Lg Joe
__________
www.joebox.org
Joebox a secure Sandbox Application for Windows Vista to analyse the Behaviour of Malware

#7 Also ich versteh nur noch bahnhof

Komische Firewall, dieses Outpost Gerät. Da die MAC Adressen ja teilweise inkrementell ansteigen, und ich mir kaum vorstellen kann daß die "konzentratoren" alle direkt hintereinander produziert wurden und somit diese MAC folge zusammenkommen könnte, ahne ich doch eher einen bösartigen angriff -irgendeiner art. Wirklich komisch. Mittlerweile hab ich ja wieder die Kerio Personal Firewall am laufen, und die scheint prima zu laufen.
Mittlerweile auch seit mehreren Tagen durchgängig am bittorentieren, und alles läuft gut.
Trotzdem schade, denn eigentlich hatte mir die Outpost Firewall gut gefallen, außerdem war sie auch mal firewall testsieger (jedenfalls vor ca. 4 monaten) und nun bin ich wieder bei der Auslaufware gelandet. Naja, trotzdem danke für all eure Hilfe, auch wenn ich zum schluss nur noch wenig verstanden habe...ich n00b.
Vielleicht kommt ja mal einer mit dem gleichen Problem, und kann aufdecken was es wirklich genau von wem war, das solche meldungen verursacht hat

Bis dahin alles gute, LongJohn

#8 Em hast du ein Router/Modem? Weil wen ja, nützt dir ein PFW nicht mehr viel, da du ja schon eine Hardwarefw hast (Firewall, hinter Firewall).

Lg Joe
__________
www.joebox.org
Joebox a secure Sandbox Application for Windows Vista to analyse the Behaviour of Malware

#9 @JoE,
ja, das stimmt, aber eben nur meistens.
Mit ner guten FW auf dem eigenen PC hinter einem Router kannst du nämlich, wenn du das nötig findest, einer Reihe von deinen eigenen Programmen verbieten, nach Hause zu telefonieren. Ich kenn da so einige Schlingel...
Außerdem: Wenn zum Beispiel hinter dem Router eine ganze Studenten WG hängt, dann würde ich ganz bestimmt eine FW auf meinen Rechner packen. Das Risiko wäre mir zu groß, wie schnell fängst du dir da was ein.

R

#10

Zitat

einer Reihe von deinen eigenen Programmen verbieten

Dazu ist eine PFW nicht da, gibt es andere Programme. Ich würde nur die Programme/Dienste nutzen die ich wirklich benöige. Damit wird eine PFW hinter einem Hardwarefw überfällig.

Lg Joe
__________
www.joebox.org
Joebox a secure Sandbox Application for Windows Vista to analyse the Behaviour of Malware

#11 Ich geb dir 2 Beispiele und dann hören wir mit dieser unsinnigen Diskussion auf.
1. Mein Sohn hängt bei mir im LAN und beschäftigt sich hin und wieder (leider) mit dunklen Internetsachen. Dabei hat er sich eben trotz Router nen Trojaner eingefangen, der sofort zu mir reinwollte. Wegen der Warnungen meiner FW konnten wir das Übel ganz schnell beseitigen.
2. Mich hat seinerzeit genervt, dass Microsoft Weltatlas beim Start schon direkt online ging und nach Hause telefonieren wollte. Ich will das Prog aber weiter nutzen. Also in der FW Regel gesetzt und fertig. Das Selbe gilt für Delphi und den WMPlayer.

#12

Zitat

sofort zu mir reinwollte

Wäre wohl über einen Dienst passiert. Den du entweder nicht benötigst oder der nicht aktuell mit MS Updates gefüttert wurde (geschweige davon, das du nicht weisst ob der Exploit des Trojaners wirklich funktioniert hätte). Bei deinem zweiten Beispiel, bin ich mit dir einverstand, wenn auch eine PFW für solche Zwecke wiederrum nicht das richtige "Werkzeug" ist.

[Greift die Software die "nach Hause telefonieren will" genug tief, wird eine PFW machtlos sein (auch bei eigen verwendeten Treibern, Kernelmodulen), das selbe wenn die Software eine eigene Packet Engine benutzt.]

Lg JoE

(Discussion closed)
__________
www.joebox.org
Joebox a secure Sandbox Application for Windows Vista to analyse the Behaviour of Malware

#13 Hmm wollte nur anmerken seitdem ich in outpost firewall in den optionen unter angriffserkennung das häkchen bei IP spoofing weg gemacht habe meldet die firewall das zwar noch aber meine FritzBox stürzt nicht mehr ab..... vorher musste ich jedesmal wenn outpost firewall was gemeldet hat den router vom netz nehmen und neustarten lassen weil der garnicht mehr ansprechbar war..... und verbindungsabbrüche hab ich seitdem auchnet mehr.....

auch wenn die disskusion geschlossen ist vllt hilft es ja doch einem......

#14

Zitat

gabbagandarlf postete
...
auch wenn die disskusion geschlossen ist vllt hilft es ja doch einem......

Könnte man so sagen... hehe

Noch eine Anmerkung zu dem MAC-Adressen:
Des sind Fakes, die gibts nicht.

anyway

TS