Hi forum!

hab ein kleines Problem in meinem Privaten WLAN… irgendwer ist durch meine WPA2-Verschlüsselung durch und hat einen enormen
Traffic an den Rechner verursacht. Ob durch Anfragen oder Dateientransfer weiß ich nicht, ich weiß auch nicht wie weit er in die
Rechner vordringen konnt!
2 mit Mac OS X 10.3.9 und Firewall und 2 Mac OS X 10.5.1 Mac´s hab ich hier… bei allen is die Firewall auf max. Stufe.
Das einige was ich rausbekommen habe ist die Netzwerkinterne IP adresse (hab eine endlosschleife in Terminal laufen die diese
überwacht und bei einer Antwort sofort Alarm schlägt) und hab zusätzlich zur WPA2 eine Mac-Adressen-Filtrierung aktiviert.
Des weiteren wurde der Rechner im "Finder" angezeigt als ein WIN-PC, dort konnte ich mich aber nicht verbinden.

Jetzt zu meiner frage: gibt es einen Terminalbefehl mit dem ich den Traffic und die IP´s im gesamten Netzwerk überwachen kann?
(können auch mehrere einzelne Befehle sein!)

schonmal vielen Dank für alle posts! und noch einen schönen Sonntag abend!

mfg snow

... kann leider nicht helfen, da müssen wohl die Profis von Terminal und der Konsole her.

Viel Erfolg. Dirk

Eine genauere Beschreibung deines Netzwerkaufbaus wäre hilfreich.

Ansonsten: man tcpdump
oder Wireshark

ich hab 4 Lan-Anschlüsse im ganzen Haus von denen 2 durch 2 Desktop Macs belegt sind.
2 weitere MBP´s sind per WLAN im Netzwerk.
Vorher nur mit WPA2 Verschlüsselung.
Der "Angreifer" musste auf alle fälle per WLAN rein, weil kein LAN-Anschluss belegt war.

Jetzt hab ich beim WLAN dein WPA2 Key geändert, den SSID geändert und einen MAC-Filter drauf gelegt.

Alles läuft per Dyn IP und TCP/IP.

noch genauer? wenn ja bitte sagt mir was ihr braucht!

Was möchtest du denn erreichen?

Willst du dein Netzwerk sichern, so dass niemand rein kann?
ODER
Möchtest du das Netzwerk überwachen, um den "Eindringling" zu ermitteln?

ich dachte eigentl. ich hätte es gut genung gesichert!
ich denke mit WPA2 und MAC-Filter sollte es eingetl. jetzt schon funktionieren! hoffe ich zumindest!
Das womit ich mich jetzt noch herumschlage ist mit einem Terminal befehl oder einem kleinen Prog. (wenns geht freeware)
das den Traffic überwacht und vll auch Alarm schlägt wen jemand versucht "reinzukommen".
es würden auch ein paar einfach Terminalbefehle reichen, die das Netzwerk nach IP-Adressen immer wieder abscannen und den
Traffic von IP zu IP und vom Internet zu einer lokalen Netzwerk IP "zeigen", also in einem Protokoll oder was auch immer festhalten.
ich würde diese Befehle ein paar Wochen/Monate im Hintergrund auf meinem Homeserver (iMac G3) laufen lassen und sie immer mal
wieder nach ungereimtheiten durchsuchen.

snow:
wenn du als router eine fritzbox verwendest, kannst du unter http://fritz.box/cgi-bin/webcm?getpage=../html/capture.html den dsl-traffic sniffen und das später mit wireshark analysieren. auf die art kannst du herausfinden, welche ips bzw. mac-adressen aktiv waren und das mit den im gleichen zeitraum aktiven rechnern vergleichen. mit ein bischen glück findest du dann heraus, dass mit der mac-adresse eines deiner im moment eigentlich abgeschalteten rechners traffic verursacht wurde. damit ist klar, dass sich jemand bei dir eingeklinkt hat. man möge mich korrigieren, wenn ich hierbei einen denkfehler habe.

 iJo: vielen Dank für den Rat, aber ich benutze leider einen T-Online A-DSL2+ Router!

Ich mag ja so Detektivspielchen

WPA2 ist nicht mal "so schnell" zu knacken. Entweder war dein Passwort so primitiv, dass man es durch Ausprobieren erraten konnte (also ein Name oder sonst ein Begriff aus einem Wörterbuch oder ne Zusammensetzung davon) oder du jagst möglicherweise Phantome.

wenn du den wlan-traffic anderweitig sniffen kannst, kannst du das o.g. vorgehen trotzdem anwenden. ich weiß nicht, ob du mit einem der macs airport in den dazu nötigen sog. aktiven modus (promiscious mode) setzen kannst. ist schon länger her, dass ich damit das letzte mal hantiert habe und das war bei mir auch damals kein mac.

theoretisch könntest du auch einfach einen broadcast-ping laufen lassen, um zu sehen, welche ips antworten. allerdings sagt das ergebnis nichts aus, wenn nur deine eigenen rechner (oder je nach einstellung selbst die nicht) antworten.

in letzter zeit hat man immer wieder von manipulierten routern als schwachstelle im wlan gelesen. dabei wird eine gepatchte firmware auf dem router eingespielt, wobei der angreifer wissen muß, welches router-modell du verwendest (weitergehend habe ich mich damit noch nicht befaßt). probiere es vielleicht mal mit einem firmwareupdate für deinen router.

aja… ich mag sie eingentl. nicht… aber ich würd gern wissen wers das war bzw. wo die schwachstelle war und naja… welche daten so kopiert bzw. durchs Netzwerk gejagt wurden!
Es war ein zufälliger 16 stelliger generierter Key (Zahlen und Buchstaben)
Ich glaube nicht das ich ein Phantom jage… weil wieso sollte im Finder eine WIN PC auftauchen wenn im ganzen Netzwerk keiner ist!
Oder wieso sollte so eine IP aufkommen oder der Traffic so enorm sein? ich weiß ja wo Datein kopiert/gestreamt werden!

Nun ja, der Finder ist nicht fehlerfrei und Traffic kann durch vieles erzeugt werden. Was ich meine ist: Es sind Indizien und die Erklärung eines unbefugten Zugriffs scheint plausibel, aber es ist kein endgültiger Beweis.
Ich höre von so vielen Leuten, die wären "gehackt" worden, dass ich da einfach immer erst mal skeptisch bin und nach alternativen Erklärungen suche. Nutzt du allein die Computer? Kennst du allein den WPA-Key?

Es kann also nicht (ab hier pure Phantasie) ein Freund deines Sohnes seinen Laptop mitgebracht haben und dein Sohn kannte zufällig den Key?

Meiner Erfahrung nach erklären sich die meisten "Hacks" auf solch einfachen Wegen, vor allem, da ich in deiner Aufstellung keinen generellen Schwachpunkt finde. WPA2 ist eigentlich nicht zu knacken, und wenn das Passwort nicht einfach zu erraten war kann ich mir nicht vorstellen, dass jemand diese Hürde überwunden hat.
Natürlich sind Szenarien vorstellbar, in denen Router manipuliert werden etc. Aber warum sollte sich dafür jemand ausgerechnet dich aussuchen?

snow:
eine virtuelle maschine mit windows oder linux hast du aber nicht am laufen?
wie hast du gemessen, dass der traffic (ich nehme an, du meinst den traffic über die dsl-leitung) höher ist, als er sein sollte?

weiter oben sagst du, du verwendest dynamische ips. weise deinen rechnern lieber mal feste ips zu. das erleichtert die analyse eines netzwerkdumps und "sicherheitstechnisch" ist es für dein lan egal, ob du dhcp oder feste ips verwendest.

iJo: nein habe ich nicht! ich habe den erhöhten Traffic beim streamen von einen auf den anderen Rechner bemerkt und in der Menüleite (ich habe iStat Menu installiert oder ähnliche Erweiterungen) der Traffic über die DSL Leitung ist nicht übermäßig gestiegen, aber erhöht.

ja werde ich bei Gelegenheit machen! (fest IP´s)

Eine simple Überwachung solltest du mit dem Befehl

arp -a

hinbekommen.

da bekomm ich das raus: woraus ich aber nicht sehr schlau werde:
speedport.ip (192.168.2.1) at 0:1a:4f:f4:54:3e on en1 [ethernet]
? (192.168.2.255) at (incomplete) on en1 [ethernet]

(alle Rechner bis auf mein MBP sind schon down… hab ich wegen den Sicherheitsproblemen heut alles heruntergefahn!)

Ich gebe zu, ganz schlau werde ich auch nicht, aber es listet dir alle bekannten Geräte im Netz auf, Normalerweise auch mit IP und MAC-Adresse. Hast du also einen fremden Rechner im Netz, dann sollte sich auch die Ausgabe ändern.

Meine Interpretation ist:
speedport.ip (192.168.2.1) at 0:1a:4f:f4:54:3e on en1 [ethernet]
ist dein Router, der hat IP 192.168.2.1, MAC-Adresse 0:1a:4f:f4:54:3e und dein Rechner ist mit ihm verbunden über en1 (Ethernet)

? (192.168.2.255) at (incomplete) on en1 [ethernet]
ist die Broadcost Adresse, über die die Information erhalten wurde

Wenn sie an sind, dann sollten auch deine anderen Rechner in der Liste auftauchen.

LOL

Der 192.168.2.1 ist dein Router von AVM. Das zweite ist die Broadcast.

WPA/WPA2 ist noch nicht hackbar... wenn dann hat jemand dein passwort erraten... mac adresse ist super einfach zu klonen, das hilft nix... nur WPA/WPA2 hilft was, ein neues passwort mit dem passwort helfer in der keychain app sollte genügen... wenn die sicherheitsanzeige komplett grün ist dann weisst du das es min 365 tage mit einem supercomputer dauert dein passwort zu erraten...

...

Kannst Du ausschließen, dass jemand anderes bei Dir zuhause einen Freund mit seinem Computer ins Netz gelassen hat?
Wie von oefinger erwähnt, das wäre die einfachste Erklärung.

Wie sieht es mit Deinem Router aus? Die Fernwartung ist hoffentlich deaktiviert und das Default-Passwort geändert?

Was ist mit Deinen Rechnern? Hast Du irgendwas laufen, was aus dem Internet zu erreichen ist?

Falsch. Es dauert bei unendlich vielen Versuchen im Durchschnitt so lange. Egal wie komplex ein Passwort ist, es gibt immer die Möglichkeit, dass man es nach wenigen Versuchen errät. Alles nur eine Frage der Wahrscheinlichkeit.;-)

oefinger: ich werde auch nicht ganz schlau draus! aber tortzdem vielen dank für dien Bemühen es zu erklären!
Das wundert mich ja so, das tortzdem jemand reingekommen ist!!!

Rantanplan: das ist die Router IP… nur ist der Router kein AVM…

smokeonit: ich hab die Keys selbst damit (einem ähnlichen tool) generiert, deswegen wundert es mich ja auch nicht!

Wowbagger: ja kann ich definitiv ausschließen! und der würde ja auch nicht so einen extremen Traffic verursachen!
ja ist deaktiviert und würde auch auf einen generierten Key geändert!
wie aus dem Internet erreichbar? FTP-sharing? nein

So, so. Woher weißt du das? Der Speedport W701 ist von AVM. Welchen hast du?

Rantanplan: ich entschuldige mich zutiefst bei dir!!
ich kannte den Hersteller nicht… und AVM kenne ich nur von der Fritzbox!
ich hab den Speedport W701V !

jetzt habe ich noch ein weiteres Problem: die Verbindung per PPoE des Modems mit dem Internet (also außerhalb des lokalen Netzwerks)
reißt ständig ab! Sodas der komplette Router rebootet und man werder telefonieren noch im Internet surven kann… auch das WLAN ist
weg. Wie wenn der Router rebootet halt… :'(

Paranoia

_mäuschen: sicher nicht!!!

danach hab ich im DHCP-Verbindgsprotokoll des Routers die IP rausgefunden!
und dann per "ping 192.168.2.xx" im terminal festgestellt das die IP da ist und der Host auch antwortet!
den rest kennt ihr ja schon!

noname ist aber selten bei PCs, also ich kenne das eher nur von anderen Netzwerkgeräten.

Vllt. doch noch irgendwas anderes im Netz. Das Bildchen muss nicht heißen das es Win ist. Alle anderen Netzwerkgeräte außer Macs werden so angezeigt. Vllt ne Netzwerkplatte, Drucker oder so?

Hm,

es gab vor einiger Zeit einen Bericht (ich glaube es war in der C'T), dass DSL Kunden von NGN (Next Generation Networks) Anschlüssen wegen ungenügender Konfiguration seitens der Internetdienstleister auf die Freigabe anderer Kunden des gleichen Anbieters zugreifen konnten.

Was für Anschluss hast du? Irgendetwas am Anschluss verändert?

Vielleicht liege ich völlig falsch...

DarkLord541: definitiv nichts anderes (mir bekanntes) in Netzwerk! (das Bild ist vom So. vormittag!)

 Moss: ich habe einen T-Online Anschluss, 16 MB/s. nein habe ich nicht, sonst würde es mich auch nicht wundern!
und ich kann definitiv auch ausschließen das jemand anderes am Router herumgespielt hat!

snow

Sei froh, du hast eine getarnte FritzBox

Andere Frage: wie hast du den enormen Traffic festgestellt? Welche Art Traffic? Wohin, woher?

Rantanplan: aufm Underground

ich hab einen enormen Traffic zwi. jedem Mac zu der IP festgestellt und einen leicht erhöhten zwi. Internet und der IP!
ich hoffe das der nicht durch die Firewall durch ist… weil die Daten sind eingetl. nicht für jeden bestimm!
Daher hoffe ich das es nur Anfragen waren… wie bei der vorletzten Livesendung, bei der sie den Mac-TV server mit Anfragen bombadiert
haben bis er down ging! Ich habe meinen Homeserver jetzt erstmal vom Netzwerk genommen, bis die Situation geklärt ist!

hmm, sowit ich dass hier verstanden habe, willst du ja eigentlich nur das wlan kontrollieren, richtig? Das kannst du doch per kismac machen. ISt zwar in deutschland verboten, für sicherheitszwcke sollte man es doch noch nutzen können.

Nanuk

ich glaube auch das das mit dem DSL provider zu tun hat... das die konfiguration schiefgelaufen ist und das leute die eigentlich im WAN sind bei dir im LAN auftauchen...

und um ip's automatisch zu sehen nehme ich "ip scanner"...

...

...

Mein Schwager hat für Windows so ein hässliches Plugin vom Laptop Hersteller mit drauf wo rechts unten ein paar Optionen für ein Mediacenter etc schweben, aber auch kleine Icons von Rechnern, und dort so viele wie Rechner im Netzwerk sind, mit IPs

gibt es so ein kleines visualisiertes Tool nicht als hover-grafik oder in der menüleiste?

ip scanner ist goldrichtig für ihn!

er muss nur "cumulative list" anklicken, dann wird jedes netzwerk gerät "gesammelt"...

...

und snow check deine email, aber du kannst ip scanner ruhig auf 2.0 updaten... zwinker...

Sorry an alle! ich hatte in der letzten Zeit ziemlich viel zutun!
vielen dank smokenit für die Mail… habs gleich ausprobiert und wieder ein unidentivizierbare IP gefunden (s.h. Bild!)
local bin ich…
HELLMACHINE mein burder…
192.168.1 ist der Router
und 192.168.2.254 ist das PHANTOM
(im Hintergrund läuft das Terminal mit den Befehl "ping 192.168.2.254"

Ich glaube, Du kannst Entwarnung geben.
Aus der Bedienungsanleitung des Speedport w701v:

Speedport W 701V über eine LAN-Verbindung immer erreichen
Der Speedport W 701V verfügt über eine feste IP-Adresse, die nicht veränderbar ist, und über die der
Speedport W 701V immer erreichbar bleibt. Es handelt sich dabei um folgende IP-Adresse: 192.168.2.254

yup die 254 wird oft für so etwas verwendet....

ok, danke! und die 192.168.2.255 ? schlägt bei mir bei mehreren versuchen auch noch an.

noch eine Frage: Wie kann es sein das eine IP die vor ca. 2 Monaten an eine Freund vergeben wurde, jetzt noch aktiv ist, obwohl sein Notebook seit den nichtmehr bei mir war? (bin mir da 100% sicher!)

danke smokeonit

192.168.2.255 ist die Rundsendeadresse ("Broadcast") Deines Netzwerks. Die ist keinem bestimmten Gerät oder Schnittstelle zugeordnet, sondern der normale Weg, um alle gerade eingeschalteten Geräte in Deinem lokalen Netz gleichzeitig zu erreichen.

Die andere Frage lässt sich nicht beantworten. Du müsstest erst sagen, was Du mit "aktiv" und "vergeben" meinst. Warum glaubst Du, die Adresse wäre aktiv? Auf welche Weise wurde die Adresse vergeben?

osxnerd: danke!
ja, mit aktiv meine ich, das wenn ich die IP mittels Terminal "ping xxx.xxx.x.xx "anpinge" das ich dann eine Rückmeldung mit dem Ping 0,1… bekomm.
mit vergeben, einfach das "der" damals "die" IP hatte…

Ping 0,1...

Meinst Du damit eine RTT von 0,1xx ms?

Wowbagger: was soll RTT heißen?
ja am ende stehen "ms"

dass ist das, wenn ich "arp -a" im Terminal eingebe:

mario:~ KMa$ arp -a
? (192.168.2.0) at ff:ff:ff:ff:ff:ff on en1 [ethernet]
speedport.ip (192.168.2.1) at 0:1a:4f:f4:54:3e on en1 [ethernet] Router IP
? (192.168.2.2) at (incomplete) on en1 [ethernet]

? (192.168.2.19) at (incomplete) on en1 [ethernet]
KMa (192.168.2.20) at (incomplete) on en1 [ethernet] RECHNER IST EINGESCHALTET UND WIRD BENUTZT
HELLMACHINE (192.168.2.21) at 0:14:51:ed:53:fc on en1 [ethernet] RECHNER IST EINGESCHALTET UND WIRD BENUTZT
iMac (192.168.2.22) at (incomplete) on en1 [ethernet] war mal als Gast da
romankoebelbd74 (192.168.2.23) at (incomplete) on en1 [ethernet] war mal als Gast da
? (192.168.2.24) at (incomplete) on en1 [ethernet]
? (192.168.2.25) at (incomplete) on en1 [ethernet]
noname (192.168.2.26) at (incomplete) on en1 [ethernet] keine Ahnung, das ist mein Phantom gewesen…
? (192.168.2.27) at (incomplete) on en1 [ethernet]
Dave (192.168.2.28) at (incomplete) on en1 [ethernet] war mal als Gast da
? (192.168.2.29) at (incomplete) on en1 [ethernet]
? (192.168.2.30) at (incomplete) on en1 [ethernet]
?

? (192.168.2.252) at (incomplete) on en1 [ethernet]
? (192.168.2.253) at (incomplete) on en1 [ethernet]
? (192.168.2.254) at 0:1a:4f:f4:54:3e on en1 [ethernet] Router
? (192.168.2.255) at ff:ff:ff:ff:ff:ff on en1 [ethernet] IP um alle Geräte anzusprechen

Hast Du oder einer Deiner Gäste vielleicht Parallels oder VMWare in Betrieb?