Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Onbekende Mac adres bij arp-a
27-10-2018, 08:17 door Anoniem, 36 reacties
Toen ik tcpdump uitvoerde zag ik een onbekende IP adres daar 192.168.2.135
Ik deed arp- a en zag de mac adres
dat de Mac adres 38:b1:db:47:39:7f
Dat afkomstig is van:
Hon Hai Precision Ind. Co.,Ltd.
Het device is niet te pingen, ontvang een: Request timeout for icmp_seq
Ik gebruik mijn alleen mijn modem bekabeld en er is geen wifi mogelijkheden op de modem.
Dit is niet de Mac adres van de Modem die is op 192.168.2.254
Ik vindt dit verkeer erg verdacht iemand enige tips?
Ik deed arp- a en zag de mac adres
dat de Mac adres 38:b1:db:47:39:7f
Dat afkomstig is van:
Hon Hai Precision Ind. Co.,Ltd.
Het device is niet te pingen, ontvang een: Request timeout for icmp_seq
Ik gebruik mijn alleen mijn modem bekabeld en er is geen wifi mogelijkheden op de modem.
Dit is niet de Mac adres van de Modem die is op 192.168.2.254
Ik vindt dit verkeer erg verdacht iemand enige tips?
Reacties (36)
Heb inmiddels ook een poortscan uitgevoerd en krijg het volgende:
PORT STATE SERVICE VERSION
1688/tcp open nsjtp-data?
MAC Address: 38:B1:DB:47:39:7F (Hon Hai Precision Ind.)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: specialized|WAP|phone
Running: iPXE 1.X, Linux 2.4.X|2.6.X, Sony Ericsson embedded
OS CPE: cpe:/o:ipxe:ipxe:1.0.0%2b cpe:/o:linux:linux_kernel:2.4.20 cpe:/o:linux:linux_kernel:2.6.22 cpe:/h:sonyericsson:u8i_vivaz
OS details: iPXE 1.0.0+, Tomato 1.28 (Linux 2.4.20), Tomato firmware (Linux 2.6.22), Sony Ericsson U8i Vivaz mobile phone
Network Distance: 1 hop
Het lijkt een mobiel te zijn maar gebruik geen mobiel.
PORT STATE SERVICE VERSION
1688/tcp open nsjtp-data?
MAC Address: 38:B1:DB:47:39:7F (Hon Hai Precision Ind.)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: specialized|WAP|phone
Running: iPXE 1.X, Linux 2.4.X|2.6.X, Sony Ericsson embedded
OS CPE: cpe:/o:ipxe:ipxe:1.0.0%2b cpe:/o:linux:linux_kernel:2.4.20 cpe:/o:linux:linux_kernel:2.6.22 cpe:/h:sonyericsson:u8i_vivaz
OS details: iPXE 1.0.0+, Tomato 1.28 (Linux 2.4.20), Tomato firmware (Linux 2.6.22), Sony Ericsson U8i Vivaz mobile phone
Network Distance: 1 hop
Het lijkt een mobiel te zijn maar gebruik geen mobiel.
Dit is een fabrikant van netwerk interface chips die levert aan allerlei apparatuur fabrikanten dus daar kom je niet
verder mee. Als het een bedraad netwerk is dan is het simpelweg een kwestie van een voor een spullen afkoppelen
en dan vind je het wel.
verder mee. Als het een bedraad netwerk is dan is het simpelweg een kwestie van een voor een spullen afkoppelen
en dan vind je het wel.
27-10-2018, 10:39 door
Ron625
TV decoder, slimme meter, enz.?
Hon Hai is ook wel bekend onder de naam Foxconn. Je moet even iets meer over je omgeving vertellen. Kan goed zijn dat het apparaat ooit verbinding heeft gemaakt maar ondertussen niet meer verbonden is. Sommige systemen zijn behoorlijk lui met het leegmaken van de arp-tabel.
Door Ron625: TV decoder, slimme meter, enz.?
Nee heb geen devices aangesloten op mijn modem, heb alleen een internet abonnement van ISP (geen tv en telefonie). De modem heeft geen wifi dus het is niet mogelijk dat een apparaat via wifi met de modem is verbonden. Alleen kabel internet is mogelijk en ik gebruik maar 1 laptop voor de kabel internet.
Door Ron625: TV decoder, slimme meter, enz.?
Geen WIFI mogelijk, sluit een slimme meter uit.
Trek alle kabels eens uit je modem en sluit alleen die ene computer aan vanwaar je die 'arp -a' doet.
Kijk wat er aandesloten is, sluit één voor één de andere apparaten aan en doe tussendoor die arp -a, je zult dan toch bij iets uit moeten komen.
Tips?
Jazeker, ik zou even door een spleetje tussen de gordijnen naar buiten gluren of er niet ook nog een zwarte bus in de straat geparkeerd staat. Zo ja, dan is het over met je........
Nu ff serieus,
Als je besef hebt van arp, mac-adressen, tcpdump etc., dan heb je toch ook de kennis om uit te zoeken welke devices er aan je netwerk hangen en voor ieder ip/mac adres een verklaring te vinden?
Het feit dat wifi uit staat betekent dat je alleen kabeltjes hoeft te volgen. Niet echt hi-tech forensisch onderzoek lijkt mij.
Jazeker, ik zou even door een spleetje tussen de gordijnen naar buiten gluren of er niet ook nog een zwarte bus in de straat geparkeerd staat. Zo ja, dan is het over met je........
Nu ff serieus,
Als je besef hebt van arp, mac-adressen, tcpdump etc., dan heb je toch ook de kennis om uit te zoeken welke devices er aan je netwerk hangen en voor ieder ip/mac adres een verklaring te vinden?
Het feit dat wifi uit staat betekent dat je alleen kabeltjes hoeft te volgen. Niet echt hi-tech forensisch onderzoek lijkt mij.
Is het mogelijk om het adres/mac te blokkeren? Dan zou je er achter kunnen komen welk apparaat niet meer werkt?
https://forum.glasswire.com/t/is-hon-hai-precision-ind-co-ltd-a-threat/6359
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
27-10-2018, 11:56 door
Briolet
De nic in mijn Ziggo Ubee router is ook van "Hon Hai Precision Ind. Co.,Ltd".
Ik neem aan dat je in een privé situatie zit. Dan lijkt het me toch niet zo veel werk om er selectief een paar stekkers uit te trekken om zo het device eenduidig te lokaliseren?
Ik neem aan dat je in een privé situatie zit. Dan lijkt het me toch niet zo veel werk om er selectief een paar stekkers uit te trekken om zo het device eenduidig te lokaliseren?
Hon Hai Precision Ind. Co.,Lt is Foxconn, een enorme hardwarefabrikant waar heel veel vandaan komt. Een zoekactie levert op dat het bijvoorbeeld ook een HP-printer kan zijn.
Kijk eens of je het IP-adres met je webbrowser kan benaderen. Wie weet is het iets met een web-interface.
Kijk eens of je het IP-adres met je webbrowser kan benaderen. Wie weet is het iets met een web-interface.
Firewall tussen pc en modem want modems (van Ziggo) komen soms met nieuwe features bij een automatische update.
Door Bartbartbart: https://forum.glasswire.com/t/is-hon-hai-precision-ind-co-ltd-a-threat/6359
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Met Wireshark zie ik dat het gaat om ARP pakketten gaat. Meer zie ik er niet echt over. De Bits en Bytes section dat is hexadecimaal is weergegeven heb ik te weinig verstand van om daar daadwerkelijk iets mee te doen. De size van alle ARP Messages zijn gelijk aan elkaar namelijk 174 kb en dit bericht komt meerdere malen voor.
Door Anoniem: Dit is een fabrikant van netwerk interface chips die levert aan allerlei apparatuur fabrikanten dus daar kom je niet
verder mee. Als het een bedraad netwerk is dan is het simpelweg een kwestie van een voor een spullen afkoppelen
en dan vind je het wel.
verder mee. Als het een bedraad netwerk is dan is het simpelweg een kwestie van een voor een spullen afkoppelen
en dan vind je het wel.
Ik heb slechts 1 laptop dat bekabeld aan de netwerk is dus dan zou ik mijn eigen laptop moeten loskoppelen. Wat ook uitgesloten kan worden is dat mijn laptop gebruik maakt van Wifi of ooit heeft gedaan omdat ik de Wifi-drivers heb verwijderd evenals andere draadloze interfaces en de daarbijbehorende hardware.
Ik blijf het raar vinden.
Door Anoniem: Hon Hai Precision Ind. Co.,Lt is Foxconn, een enorme hardwarefabrikant waar heel veel vandaan komt. Een zoekactie levert op dat het bijvoorbeeld ook een HP-printer kan zijn.
Kijk eens of je het IP-adres met je webbrowser kan benaderen. Wie weet is het iets met een web-interface.
Kijk eens of je het IP-adres met je webbrowser kan benaderen. Wie weet is het iets met een web-interface.
Heb inderdaad in mijn browser de IP ingevoerd en kreeg niks te pakken, net zoals het pingen van de device, wel was een poortscan mogelijk.
Door Anoniem: Is het mogelijk om het adres/mac te blokkeren? Dan zou je er achter kunnen komen welk apparaat niet meer werkt?
Ik heb geen apparaten aangesloten aan de modem, dus heb geen idee wat dan niet zou werken.
Ik denk dat ik al weet wat mogelijk de oorzaak is en excuses voor deze domme vraag. Ik heb meerdere operating systems draaien op mijn laptop en spoor regelmatig mijn Mac adres dus dat was de oorzaak. Excuses! Sorry voor deze onnodige topic en mijn paranoïde gedrag!
Maar je ziet hem ook niet in je router vermeld staan?
Om wat voor router gaat het, eentje direct aan je WAN? Heb je toegang tot alle instellingen?
Als het ook pakketjes ontvangt dan kun je daar de poortbereikbaarheid van afleiden en als je zo'n pakketje onderschept, misvormt en doorstuurt, dan krijg je hopelijk een foutmelding met meer informatie over het apparaat terug.
Als het een telefoon is (Sony Ericsson) dan zou dat betekenen dat je of toch wifi aan hebt (wifi analyzer op eigen mobieltje laat je zien welke netwerken er zijn), of dat er een telefoon via usb met je pc of router verbonden is.
Door alle apparaten in je huis uit te schakelen behalve je pc en router kun je wegstrepen dat het om een eigen iot apparaat gaat. SmartTv?
*Ow.. ik zie dat het is opgelost (wel vreemd dan dat je verkeer opving met Wireshark)
Om wat voor router gaat het, eentje direct aan je WAN? Heb je toegang tot alle instellingen?
Als het ook pakketjes ontvangt dan kun je daar de poortbereikbaarheid van afleiden en als je zo'n pakketje onderschept, misvormt en doorstuurt, dan krijg je hopelijk een foutmelding met meer informatie over het apparaat terug.
Als het een telefoon is (Sony Ericsson) dan zou dat betekenen dat je of toch wifi aan hebt (wifi analyzer op eigen mobieltje laat je zien welke netwerken er zijn), of dat er een telefoon via usb met je pc of router verbonden is.
Door alle apparaten in je huis uit te schakelen behalve je pc en router kun je wegstrepen dat het om een eigen iot apparaat gaat. SmartTv?
*Ow.. ik zie dat het is opgelost (wel vreemd dan dat je verkeer opving met Wireshark)
Door Bartbartbart: Maar je ziet hem ook niet in je router vermeld staan?
Om wat voor router gaat het, eentje direct aan je WAN? Heb je toegang tot alle instellingen?
Als het ook pakketjes ontvangt dan kun je daar de poortbereikbaarheid van afleiden en als je zo'n pakketje onderschept, misvormt en doorstuurt, dan krijg je hopelijk een foutmelding met meer informatie over het apparaat terug.
Als het een telefoon is (Sony Ericsson) dan zou dat betekenen dat je of toch wifi aan hebt (wifi analyzer op eigen mobieltje laat je zien welke netwerken er zijn), of dat er een telefoon via usb met je pc of router verbonden is.
Door alle apparaten in je huis uit te schakelen behalve je pc en router kun je wegstrepen dat het om een eigen iot apparaat gaat. SmartTv?
*Ow.. ik zie dat het is opgelost (wel vreemd dan dat je verkeer opving met Wireshark)
Om wat voor router gaat het, eentje direct aan je WAN? Heb je toegang tot alle instellingen?
Als het ook pakketjes ontvangt dan kun je daar de poortbereikbaarheid van afleiden en als je zo'n pakketje onderschept, misvormt en doorstuurt, dan krijg je hopelijk een foutmelding met meer informatie over het apparaat terug.
Als het een telefoon is (Sony Ericsson) dan zou dat betekenen dat je of toch wifi aan hebt (wifi analyzer op eigen mobieltje laat je zien welke netwerken er zijn), of dat er een telefoon via usb met je pc of router verbonden is.
Door alle apparaten in je huis uit te schakelen behalve je pc en router kun je wegstrepen dat het om een eigen iot apparaat gaat. SmartTv?
*Ow.. ik zie dat het is opgelost (wel vreemd dan dat je verkeer opving met Wireshark)
Ik heb geen wifi op de modem, ik vond het ook raar dat wireshark verkeer opving, maar ik ga ervan uit dat het paranoide gedrag is want ik spoof mijn IP adres en draai mijn distro via VirtualBox achtige Virtualisatie maar het zal waarschijnlijk mijn distro zijn die een andere mac adres nam ik zag in de router ook dat mijn laptop twee keer een ip adress toegewezen had gekregen dus dat zou wel de oorzaak zijn geweest.
Waarschijnlijk vangde ik de het verkeer buiten de virtuele machine op.
27-10-2018, 16:48 door
Bitwiper
Voor degenen die een vergelijkbaar probleem hebben (TS lijkt de oorzaak te hebben gevonden).
Op het laagste bit van de eerste byte na, zou je uit de eerste 3 bytes van een MAC adres de leverancier van de netwerkinterface moeten kunnen afleiden. Deze 24 - 1 bits zijn bekend als OUI (Organizational Unique Identifier).
Als elke NIC leverancier, gegeven die eerste 3 bytes, elke combinatie van de laatste 3 bytes maximaal 1 keer uitgeeft, is het uitgesloten dat je ooit twee devices met hetzelfde MAC-adres aan jouw netwerk hebt (en dat wil je echt niet, want als je dat niet weet zoek je je suf).
Met de opkomst van virtualisatie ontstond al een probleem, maar er blijken nu fabrikanten te zijn die gewoon de eerste 3 bytes hergebruiken die aan andere (betalende) fabrikanten zijn toegekend. Bijv. in https://seclists.org/fulldisclosure/2018/Oct/22 kun je lezen dat Xiongmai (voluit "Hangzhou Xiongmai Technology Co., Ltd", een grote fabrikant van IP-camera's die onder veel andere merknamen worden verkocht, de volgende OUI's heeft gejat (met daarbij OUI's die je nu of binnenkort best in je thuisnetwerk zou kunnen tegenkomen, vet gemaakt door mij):
Zie https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/ voor het hele verhaal over deze fabrikant die meer geschreven en ongeschreven regels aan zijn laars lapt.
Daarnaast is het meestal niet moeilijk om een MAC adres permanent te veranderen, en het on-the-fly wijzigen van afzender MAC adressen stelt helemaal niks voor.
Kortom, dat het om een MAC adres gaat dat alleen door NICs van "Hon Hai Precision Ind. Co.,Ltd." gebruikt zouden horen te worden, zou kunnen kloppen, maar misschien ook niet.
Op het laagste bit van de eerste byte na, zou je uit de eerste 3 bytes van een MAC adres de leverancier van de netwerkinterface moeten kunnen afleiden. Deze 24 - 1 bits zijn bekend als OUI (Organizational Unique Identifier).
Als elke NIC leverancier, gegeven die eerste 3 bytes, elke combinatie van de laatste 3 bytes maximaal 1 keer uitgeeft, is het uitgesloten dat je ooit twee devices met hetzelfde MAC-adres aan jouw netwerk hebt (en dat wil je echt niet, want als je dat niet weet zoek je je suf).
Met de opkomst van virtualisatie ontstond al een probleem, maar er blijken nu fabrikanten te zijn die gewoon de eerste 3 bytes hergebruiken die aan andere (betalende) fabrikanten zijn toegekend. Bijv. in https://seclists.org/fulldisclosure/2018/Oct/22 kun je lezen dat Xiongmai (voluit "Hangzhou Xiongmai Technology Co., Ltd", een grote fabrikant van IP-camera's die onder veel andere merknamen worden verkocht, de volgende OUI's heeft gejat (met daarbij OUI's die je nu of binnenkort best in je thuisnetwerk zou kunnen tegenkomen, vet gemaakt door mij):
001210 WideRay Corp
001211 Protechna Herbst GmbH & Co. KG
001212 PLUS Corporation
001213 Metrohm AG
001214 Koenig & Bauer AG
001215 iStor Networks, Inc.
001216 ICP Internet Communication Payment AG
001217 Cisco-Linksys, LLC
001218 ARUZE Corporation
003E0B - Not assigned
001211 Protechna Herbst GmbH & Co. KG
001212 PLUS Corporation
001213 Metrohm AG
001214 Koenig & Bauer AG
001215 iStor Networks, Inc.
001216 ICP Internet Communication Payment AG
001217 Cisco-Linksys, LLC
001218 ARUZE Corporation
003E0B - Not assigned
Zie https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/ voor het hele verhaal over deze fabrikant die meer geschreven en ongeschreven regels aan zijn laars lapt.
Daarnaast is het meestal niet moeilijk om een MAC adres permanent te veranderen, en het on-the-fly wijzigen van afzender MAC adressen stelt helemaal niks voor.
Kortom, dat het om een MAC adres gaat dat alleen door NICs van "Hon Hai Precision Ind. Co.,Ltd." gebruikt zouden horen te worden, zou kunnen kloppen, maar misschien ook niet.
OUI van MAC zegt absoluut niks als je gehacked bent. Ik heb eens een echte MiTM meegemaakt waarbij de hacker (heb hem naderhand ook gezien- een Amerikaan in mijn hotel) zelfs zo slim was om de spoof MAC van de router tot de laatste 2 bytes te dupliceren. Dat is behoorlijk camo en best wel slim. (in vergelijking met gewoon een random MAC )
Je moet eerst maar eens uitsluiten waar dat MAC adres vandaan komt. Kwestie van alle apparaten nalopen. Als je je hele netwerk niet kunt downen kun je apparaat voor apparaat proberen waarbij je steeds je ARP tabel leegt met of waarbij je met ARPING of een soortgelijke tool checkt of het apparaat wat je uitrekt de bewuste boosdoener is. Succes!
Je moet eerst maar eens uitsluiten waar dat MAC adres vandaan komt. Kwestie van alle apparaten nalopen. Als je je hele netwerk niet kunt downen kun je apparaat voor apparaat proberen waarbij je steeds je ARP tabel leegt met of waarbij je met ARPING of een soortgelijke tool checkt of het apparaat wat je uitrekt de bewuste boosdoener is. Succes!
Door Bitwiper: Voor degenen die een vergelijkbaar probleem hebben (TS lijkt de oorzaak te hebben gevonden).
Op het laagste bit van de eerste byte na, zou je uit de eerste 3 bytes van een MAC adres de leverancier van de netwerkinterface moeten kunnen afleiden. Deze 24 - 1 bits zijn bekend als OUI (Organizational Unique Identifier).
Als elke NIC leverancier, gegeven die eerste 3 bytes, elke combinatie van de laatste 3 bytes maximaal 1 keer uitgeeft, is het uitgesloten dat je ooit twee devices met hetzelfde MAC-adres aan jouw netwerk hebt (en dat wil je echt niet, want als je dat niet weet zoek je je suf).
Met de opkomst van virtualisatie ontstond al een probleem, maar er blijken nu fabrikanten te zijn die gewoon de eerste 3 bytes hergebruiken die aan andere (betalende) fabrikanten zijn toegekend. Bijv. in https://seclists.org/fulldisclosure/2018/Oct/22 kun je lezen dat Xiongmai (voluit "Hangzhou Xiongmai Technology Co., Ltd", een grote fabrikant van IP-camera's die onder veel andere merknamen worden verkocht, de volgende OUI's heeft gejat (met daarbij OUI's die je nu of binnenkort best in je thuisnetwerk zou kunnen tegenkomen, vet gemaakt door mij):
Zie https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/ voor het hele verhaal over deze fabrikant die meer geschreven en ongeschreven regels aan zijn laars lapt.
Daarnaast is het meestal niet moeilijk om een MAC adres permanent te veranderen, en het on-the-fly wijzigen van afzender MAC adressen stelt helemaal niks voor.
Kortom, dat het om een MAC adres gaat dat alleen door NICs van "Hon Hai Precision Ind. Co.,Ltd." gebruikt zouden horen te worden, zou kunnen kloppen, maar misschien ook niet.
Op het laagste bit van de eerste byte na, zou je uit de eerste 3 bytes van een MAC adres de leverancier van de netwerkinterface moeten kunnen afleiden. Deze 24 - 1 bits zijn bekend als OUI (Organizational Unique Identifier).
Als elke NIC leverancier, gegeven die eerste 3 bytes, elke combinatie van de laatste 3 bytes maximaal 1 keer uitgeeft, is het uitgesloten dat je ooit twee devices met hetzelfde MAC-adres aan jouw netwerk hebt (en dat wil je echt niet, want als je dat niet weet zoek je je suf).
Met de opkomst van virtualisatie ontstond al een probleem, maar er blijken nu fabrikanten te zijn die gewoon de eerste 3 bytes hergebruiken die aan andere (betalende) fabrikanten zijn toegekend. Bijv. in https://seclists.org/fulldisclosure/2018/Oct/22 kun je lezen dat Xiongmai (voluit "Hangzhou Xiongmai Technology Co., Ltd", een grote fabrikant van IP-camera's die onder veel andere merknamen worden verkocht, de volgende OUI's heeft gejat (met daarbij OUI's die je nu of binnenkort best in je thuisnetwerk zou kunnen tegenkomen, vet gemaakt door mij):
001210 WideRay Corp
001211 Protechna Herbst GmbH & Co. KG
001212 PLUS Corporation
001213 Metrohm AG
001214 Koenig & Bauer AG
001215 iStor Networks, Inc.
001216 ICP Internet Communication Payment AG
001217 Cisco-Linksys, LLC
001218 ARUZE Corporation
003E0B - Not assigned
001211 Protechna Herbst GmbH & Co. KG
001212 PLUS Corporation
001213 Metrohm AG
001214 Koenig & Bauer AG
001215 iStor Networks, Inc.
001216 ICP Internet Communication Payment AG
001217 Cisco-Linksys, LLC
001218 ARUZE Corporation
003E0B - Not assigned
Zie https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/ voor het hele verhaal over deze fabrikant die meer geschreven en ongeschreven regels aan zijn laars lapt.
Daarnaast is het meestal niet moeilijk om een MAC adres permanent te veranderen, en het on-the-fly wijzigen van afzender MAC adressen stelt helemaal niks voor.
Kortom, dat het om een MAC adres gaat dat alleen door NICs van "Hon Hai Precision Ind. Co.,Ltd." gebruikt zouden horen te worden, zou kunnen kloppen, maar misschien ook niet.
Klopt hackers spoofen zelfs soms de Mac adres van een andere hacker (netzoals dat ze proxy van de andere hacker gebruiken) om zo de schuld van een hack bij een andere hacker neerteleggen.
Staatshackers doen dit regelmatig, dus is de nieuws wat wij vaak horen die heeft die gehacked niet altijd betrouwbaar. Hackers brengen mensen graag op de verkeerde been.
Door Anoniem: OUI van MAC zegt absoluut niks als je gehacked bent. Ik heb eens een echte MiTM meegemaakt waarbij de hacker (heb hem naderhand ook gezien- een Amerikaan in mijn hotel) zelfs zo slim was om de spoof MAC van de router tot de laatste 2 bytes te dupliceren. Dat is behoorlijk camo en best wel slim. (in vergelijking met gewoon een random MAC )
Je moet eerst maar eens uitsluiten waar dat MAC adres vandaan komt. Kwestie van alle apparaten nalopen. Als je je hele netwerk niet kunt downen kun je apparaat voor apparaat proberen waarbij je steeds je ARP tabel leegt met of waarbij je met ARPING of een soortgelijke tool checkt of het apparaat wat je uitrekt de bewuste boosdoener is. Succes!
Je moet eerst maar eens uitsluiten waar dat MAC adres vandaan komt. Kwestie van alle apparaten nalopen. Als je je hele netwerk niet kunt downen kun je apparaat voor apparaat proberen waarbij je steeds je ARP tabel leegt met of waarbij je met ARPING of een soortgelijke tool checkt of het apparaat wat je uitrekt de bewuste boosdoener is. Succes!
Hoezo is ben je onder de indruk dat iemand de Mac Adres van de router tot de laatste 2 bytes kan dupliceren? Je kan een Mac adres spoofen zoals jij dat wilt dus je kan je Mac adres spoofen naar wat jij wilt.
Zoals ik zei zijn er geen andere apparaten in mijn netwerk, wat bedoel je met je netwerk downen?
Net ook even mijn hoofd gebroken over een MAC-adres dat draadloos met mijn router was verbonden waarvan ik even geen idee had welk apparaat dat zou kunnen zijn......
60:C5:A8:6A:5C:XX:YY. lijkt van "Beijing LT Honway Technology Co.,Ltd" te zijn.
Even goed nadenken bracht mij bij mijn GoodWe inverter van de zonnepanelen.......
Zoals gewoonlijk, een logische verklaring voor een in eerste instantie vreemde waarneming (-:
60:C5:A8:6A:5C:XX:YY. lijkt van "Beijing LT Honway Technology Co.,Ltd" te zijn.
Even goed nadenken bracht mij bij mijn GoodWe inverter van de zonnepanelen.......
Zoals gewoonlijk, een logische verklaring voor een in eerste instantie vreemde waarneming (-:
07-11-2018, 18:17 door
Eric-Jan H te D
Heb je een illegale versie van Windows draaien mbv KMS? Dan zie je in de ARP daar de virtuele KMS server.
Door Anoniem: 00:DE:AD:BE:EF:00
Jij bent 31337. Leuk dat ze kinderen leren programmeren tegenwoordig.
08-11-2018, 16:20 door
beatnix
Zet eventueel een hub tussen lan en router, zet je hele lan op die hub en probeer eventueel via zogeheten lantap tussen router en hub eens wat te sniffen. Zoals sommigen te zeggen kregen, is het niet een of ander meer vergeten apparaat?
https://lantap.nl
https://lantap.nl
Door beatnix: Zet eventueel een hub tussen lan en router, zet je hele lan op die hub en probeer eventueel via zogeheten lantap tussen router en hub eens wat te sniffen. Zoals sommigen te zeggen kregen, is het niet een of ander meer vergeten apparaat?
https://lantap.nl
https://lantap.nl
Geen info op lantap.nl. Is deze passieve tap eentje waarbij je RX en TX verkeer split? Zodat je tap-top niets kan inserten (bijv. denk aan aan bug / exploit in Wireshark) of waar zijn de 4 connectoren voor? (2x in , 2x uit begrijp ik nog).
Ik heb ergens anders de gesoldeerde versie gezien, voor rond de $20, in een klein zwart doosje, kleiner dan deze ster.
09-11-2018, 00:27 door
beatnix
Veel sniffer software werkt half duplex, dus 1 rj45 poort per richting output om sniffer software tegemoet te komen.
verkeer injecteren is in de kern heel gemakkelijk alleen verkeer on the fly manipuleren is wat anders dan pakketten verzenden die verzonden lijken te zijn vanaf een andere host (let op packet sequence nummers!)
om verkeer on the fly te manipuleren behoor je een andere werkwijze en hardware te benutten plus is geheel wat anders dan eenvoudig wat injecteren, denk aan snel antwoord wat de verzender verwacht /timeout definities. on the fly manipulatie behoort geautomatiseerd via dpi pakketten hermoduleren en niet via een tap maar een onzichtbare (transparent) extra hop tussen verzender en ontvanger.
hier krijg je wat informatie;
https://hackaday.com/2008/09/14/passive-networking-tap/
en wat andere informatie inclusief tekeningen over die throwing star (zoals het mij mag voorkomen vergelijkbaar als die bij lantap.nl);
https://greatscottgadgets.com/throwingstar/
eventueel misschien contact opnemen met mensen achter lantap.nl (email, adres)?
verkeer injecteren is in de kern heel gemakkelijk alleen verkeer on the fly manipuleren is wat anders dan pakketten verzenden die verzonden lijken te zijn vanaf een andere host (let op packet sequence nummers!)
om verkeer on the fly te manipuleren behoor je een andere werkwijze en hardware te benutten plus is geheel wat anders dan eenvoudig wat injecteren, denk aan snel antwoord wat de verzender verwacht /timeout definities. on the fly manipulatie behoort geautomatiseerd via dpi pakketten hermoduleren en niet via een tap maar een onzichtbare (transparent) extra hop tussen verzender en ontvanger.
hier krijg je wat informatie;
https://hackaday.com/2008/09/14/passive-networking-tap/
en wat andere informatie inclusief tekeningen over die throwing star (zoals het mij mag voorkomen vergelijkbaar als die bij lantap.nl);
https://greatscottgadgets.com/throwingstar/
eventueel misschien contact opnemen met mensen achter lantap.nl (email, adres)?
Oh hier nog wat meer informatie;
https://www.dualcomm.com/products/usb-powered-10-100base-t-network-tap ook handig stukkie hardware
https://www.theseus.fi/bitstream/handle/10024/98363/Petrenko_Alexey.pdf handig papertje misschien? (edit: Detecting physical layer attacks on
Ethernet networks)
om te bridgen;
brctl (bridge-utils)
ebtables
en on the fly manipulatie behoort wel tot de mogelijkheden softwarematig als bridge alleen sommige krijgen hier toegespitste hardware bij te benutten..
https://www.dualcomm.com/products/usb-powered-10-100base-t-network-tap ook handig stukkie hardware
https://www.theseus.fi/bitstream/handle/10024/98363/Petrenko_Alexey.pdf handig papertje misschien? (edit: Detecting physical layer attacks on
Ethernet networks)
om te bridgen;
brctl (bridge-utils)
ebtables
en on the fly manipulatie behoort wel tot de mogelijkheden softwarematig als bridge alleen sommige krijgen hier toegespitste hardware bij te benutten..
Door Anoniem:
Met Wireshark zie ik dat het gaat om ARP pakketten gaat. Meer zie ik er niet echt over. De Bits en Bytes section dat is hexadecimaal is weergegeven heb ik te weinig verstand van om daar daadwerkelijk iets mee te doen. De size van alle ARP Messages zijn gelijk aan elkaar namelijk 174 kb en dit bericht komt meerdere malen voor.
Een Wiredhark ARP-pakket van 174kb???! Zelfs als je "bit" bedoelt lijkt me dat ongewoon veel voor een ARP-pakket.Door Bartbartbart: https://forum.glasswire.com/t/is-hon-hai-precision-ind-co-ltd-a-threat/6359
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Met Wireshark zie ik dat het gaat om ARP pakketten gaat. Meer zie ik er niet echt over. De Bits en Bytes section dat is hexadecimaal is weergegeven heb ik te weinig verstand van om daar daadwerkelijk iets mee te doen. De size van alle ARP Messages zijn gelijk aan elkaar namelijk 174 kb en dit bericht komt meerdere malen voor.
ARP= Adress Resolution Protocol en hoeft gewoonlijk alleen maar het IP-adres te vinden behorend bij elk MAC-adres.
Standaard ethernet heeft paketten van iets van 1500 bytes maximum.
Of gebruik je jumbopaketten en houd je je netwerk af en toe bezig met heel veel padding of zo?
Heb je ooit een Sony mobiel gehad? Want dat geeft die aan met je poortscan 'Sony Ericsson U8i Vivaz mobile phone'
Door Anoniem:
ARP= Adress Resolution Protocol en hoeft gewoonlijk alleen maar het IP-adres te vinden behorend bij elk MAC-adres.
Standaard ethernet heeft paketten van iets van 1500 bytes maximum.
Of gebruik je jumbopaketten en houd je je netwerk af en toe bezig met heel veel padding of zo?
Door Anoniem:
Met Wireshark zie ik dat het gaat om ARP pakketten gaat. Meer zie ik er niet echt over. De Bits en Bytes section dat is hexadecimaal is weergegeven heb ik te weinig verstand van om daar daadwerkelijk iets mee te doen. De size van alle ARP Messages zijn gelijk aan elkaar namelijk 174 kb en dit bericht komt meerdere malen voor.
Een Wiredhark ARP-pakket van 174kb???! Zelfs als je "bit" bedoelt lijkt me dat ongewoon veel voor een ARP-pakket.Door Bartbartbart: https://forum.glasswire.com/t/is-hon-hai-precision-ind-co-ltd-a-threat/6359
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Misschien kom je iets meer te weten door met Wireshark het verkeer van 2.135 te capturen...
of portscan op uitvoeren, foutcodes proberen te laten genereren door stuk gemaakte pakketjes oid..
Met Wireshark zie ik dat het gaat om ARP pakketten gaat. Meer zie ik er niet echt over. De Bits en Bytes section dat is hexadecimaal is weergegeven heb ik te weinig verstand van om daar daadwerkelijk iets mee te doen. De size van alle ARP Messages zijn gelijk aan elkaar namelijk 174 kb en dit bericht komt meerdere malen voor.
ARP= Adress Resolution Protocol en hoeft gewoonlijk alleen maar het IP-adres te vinden behorend bij elk MAC-adres.
Standaard ethernet heeft paketten van iets van 1500 bytes maximum.
Of gebruik je jumbopaketten en houd je je netwerk af en toe bezig met heel veel padding of zo?
Ja ik vond dat ook raar dat de size 174KB was, ik gebruik gewoon normale ethernetframes met een maximumgrootte van 1500 bytes. Er gebeuren rare dingen in mijn lokale netwerk in het verleden maar heb niet precies door wat er gebeurd.
Een maand geleden was ik geDNStunneled en blijf nogsteeds een beetje achterdochtig of er iets ongewoonsgebeurd maar ik ben niet verantwoordelijk voor de security en had het gemeld bij onze Security and Operations Control Center(SOCC) en daarmee een gesprek gehad en die vragen mij het in de gaten te houden.
Het gaat om een "bruine" laptop wat inhoudt dat de Laptop zowel thuis als op het gebruikt wordt voor zakkelijke doeleinden en heb volledige beheersrechten erover en de SOCC.
Door beatnix: Veel sniffer software werkt half duplex, dus 1 rj45 poort per richting output om sniffer software tegemoet te komen.
verkeer injecteren is in de kern heel gemakkelijk alleen verkeer on the fly manipuleren is wat anders dan pakketten verzenden die verzonden lijken te zijn vanaf een andere host (let op packet sequence nummers!)
om verkeer on the fly te manipuleren behoor je een andere werkwijze en hardware te benutten plus is geheel wat anders dan eenvoudig wat injecteren, denk aan snel antwoord wat de verzender verwacht /timeout definities. on the fly manipulatie behoort geautomatiseerd via dpi pakketten hermoduleren en niet via een tap maar een onzichtbare (transparent) extra hop tussen verzender en ontvanger.
hier krijg je wat informatie;
https://hackaday.com/2008/09/14/passive-networking-tap/
en wat andere informatie inclusief tekeningen over die throwing star (zoals het mij mag voorkomen vergelijkbaar als die bij lantap.nl);
https://greatscottgadgets.com/throwingstar/
eventueel misschien contact opnemen met mensen achter lantap.nl (email, adres)?
verkeer injecteren is in de kern heel gemakkelijk alleen verkeer on the fly manipuleren is wat anders dan pakketten verzenden die verzonden lijken te zijn vanaf een andere host (let op packet sequence nummers!)
om verkeer on the fly te manipuleren behoor je een andere werkwijze en hardware te benutten plus is geheel wat anders dan eenvoudig wat injecteren, denk aan snel antwoord wat de verzender verwacht /timeout definities. on the fly manipulatie behoort geautomatiseerd via dpi pakketten hermoduleren en niet via een tap maar een onzichtbare (transparent) extra hop tussen verzender en ontvanger.
hier krijg je wat informatie;
https://hackaday.com/2008/09/14/passive-networking-tap/
en wat andere informatie inclusief tekeningen over die throwing star (zoals het mij mag voorkomen vergelijkbaar als die bij lantap.nl);
https://greatscottgadgets.com/throwingstar/
eventueel misschien contact opnemen met mensen achter lantap.nl (email, adres)?
Dit is hele goede informatie, ik ga hiermee aan de slag!
Door Anoniem: Toen ik tcpdump uitvoerde zag ik een onbekende IP adres daar 192.168.2.135
Ik deed arp- a en zag de mac adres
dat de Mac adres 38:b1:db:47:39:7f
Dat afkomstig is van:
Hon Hai Precision Ind. Co.,Ltd.
Het device is niet te pingen, ontvang een: Request timeout for icmp_seq
Ik gebruik mijn alleen mijn modem bekabeld en er is geen wifi mogelijkheden op de modem.
Dit is niet de Mac adres van de Modem die is op 192.168.2.254
Ik vindt dit verkeer erg verdacht iemand enige tips?
Ik deed arp- a en zag de mac adres
dat de Mac adres 38:b1:db:47:39:7f
Dat afkomstig is van:
Hon Hai Precision Ind. Co.,Ltd.
Het device is niet te pingen, ontvang een: Request timeout for icmp_seq
Ik gebruik mijn alleen mijn modem bekabeld en er is geen wifi mogelijkheden op de modem.
Dit is niet de Mac adres van de Modem die is op 192.168.2.254
Ik vindt dit verkeer erg verdacht iemand enige tips?
Hon Hai Precision Ind. Co
Maakt ook moederborden voor computers,
en heeft in het verleden eigen aziatische medewerkers als slaven behandeld waarbij de medewerkers ook
werden onderbetaald.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
