| |
| |||||||
Log-Analyse und Auswertung: ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.12.2011, 18:35
| #1 |
 |  ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? Hallo, ich hatte gestern in meiner Firewall die Warnung, dass ich Opfer eines ARP-Cache-Spoofings Angriffs geworden bin. (Guter Artikel zu dem Thema: ARP-Grundlagen und Spoofing) Ich habe mich dazu schlau gemacht und verstehe nun was das ARP Protokoll ist und dass es für die Zuordnung der IP Adressen zu Mac Adressen zuständig ist. Ich habe auch den Man-in-the-middle Angriff verstanden, der ja wohl an dieser Stelle stattgefunden hat?! Das ist die große Frage? Könnt ihr das einschätzen, was genau dort passiert ist und ob ich den Zwischenfall ernst nehmen soll, ich habe die Firewall erst neu installiert. Heute ist kein Angriff mehr gemeldet worden. Meine IP zu dem Zeitpunkt lautete (Ziel): 192.168.2.105 Ich wäre sehr dankbar auch nur über eine kurze Antwort, was der Grund für diese Meldung gewesen sein KÖNNTE. Danke euch! Firewall: Logfile: HTML-Code: <?xml version="1.0" encoding="utf-8" ?> <ESET> <LOG> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:36:14</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>22:09:23</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> <RECORD> <COLUMN NAME="Zeit"> <DATE>06.12.2011</DATE> <TIME>21:41:12</TIME> </COLUMN> <COLUMN NAME="Ereignis">ARP Cache-Poisoning-Angriff erkannt</COLUMN> <COLUMN NAME="Quelle">192.168.2.113</COLUMN> <COLUMN NAME="Ziel">192.168.2.105</COLUMN> <COLUMN NAME="Protokoll">ARP</COLUMN> <COLUMN NAME="Regel/Wurmname"></COLUMN> <COLUMN NAME="Anwendung"></COLUMN> <COLUMN NAME="Benutzer"></COLUMN> </RECORD> </LOG> </ESET> hxxp://standards.ieee.org/develop/regauth/oui/oui.txt |
|
07.12.2011, 18:47
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch?Zitat:
__________________ |
|
07.12.2011, 19:17
| #3 |
| | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? Es sind ungefähr 5 Rechner von meinen Kollegen im Netzwerk. Zu dem Zeitpunkt war nur mein Rechner und der eines Kollegens eingeschaltet.
__________________ |
|
07.12.2011, 20:08
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? Zeigt dann mal wieder die Sinnfreiheit solche schwachsinnigen PFWs. Quelle und Ziel sind IP-Nummern in deinem lokalen Subnetz.  Lass die Finger von solchen dümmlichen PFWs und verwende einfach nur die Windows-Firewall.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
07.12.2011, 20:59
| #5 |
| | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? ESET wurde mir hier von euch empfohlen. Was heißt das jetzt genau? Es kann doch sein, dass sich jemand ins WLAN gehackt hat und nun den Transfer ausspioniert? |
|
07.12.2011, 22:59
| #6 |
| | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? Ich habe mir nun auch XArp runtergeladen. Dieses Programm erkennt ARP Attacks. Ich habe es auf Erkennungsstufe "High" gesetzt. Das Programm genau wie die Firewall haben vorhin wieder Alarm geschlagen. Bei der IP 192.168.2.113 handelt es sich um ein Ipad, das sich im WLAN befindet bei der IP 192.168.2.105 handelt es sich um meinen Win7 Rechner, der im LAN befindet. Der Router besitzt die IP 192.168.2.1. Wie ist das jetzt einzuschätzen? Ist das Ipad vielleicht infiziert? Es ist nicht gejailbreaked oder Sonstiges. Wie kommen diese Warnungen zu Stande? Ich habe der Vollständigkeitshalber noch ein Screenshot der ARP Cache Tabelle gemacht: Help? Wie kann man das einschätzen? |
|
08.12.2011, 11:53
| #7 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch?Zitat:
Zitat:
PFW runterschmeißen, Windows-Firewall aktiv setzen und es ist erledigt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch? |
| adresse, adressen, antwort, anwendung, benutzer, cache, erkannt, ernst, eset, firewall, frage, guter, heute, html, ip adresse, ip adressen, kurze, meldung, neu, opfer, protokoll, quelle, stelle, thema, version, warnung |
Linear-Darstellung
