Hallo mal wieder,

hatte heute Probleme mit meinem Router, weil der keine IP zugewiesen bekam. Beim Blick ins Routerlog sah ich dann DHCP NAKs auf die DHCP Requests. (Das Spiel wiederholte sich pausenlos)

Also hab ich Router abgestöpselt und bin direkt mit dem PC ran, WinXP hatte zwar auch ne weile gebraucht aber schlussendlich bekam ich eine IP zugewiesen.

Das kam mir seltsam vor und ich hab mal mit dem Network Monitor den Traffic angeguckt und dabei folgendes aufgezeichnet:

Normalerweise bekomme ich eine IP die so aussieht: ***.232.228.xxx
Die geschwärzten Zahlen wären also als *** zu sehn.

http://www8.picfront.org/picture/5nAPYpLOzC/thb/Unbenannt-2.jpg (http://www.picfront.org/d/5nAPYpLOzC/Unbenannt-2.jpg)

Wenn ich jetzt allerdings das Log vom Monitor anseh, dann seh ich, dass die IP 192.168.0.20 dauernd NAKs verschickt, wieso? Ist das ein Angriff oder liegt hier ein anderer Fehler vor?

Jedenfalls bekommt mein Router keine IP mehr zugewiesen, er sucht sozusagen endlos. Hab zuerst gedacht, die Tomato Firmware hat eine Macke, also die von Linksys raufgespielt, aber die hat das selbe Problem.

:confused:

Vielleicht solltest du etwas mehr zu deinem Netzwerk erläutern, ich wüsste z.B. nicht warum dein Router (der normalerweise DHCP-Server ist) eine DHCp-Adresse beziehen sollte. Was für ne Internetverbindung? DSL (PPPoE)? Statische IP?
Wo treten diese DHCP-Anfragen und Antworten auf? Externe Schnittstelle? Bei dir im LAN? Wo (also vom Netzwerkaufbau her) hast du die pakete auf deinem Bild gecaptured? Wenn es intern ist dann welche Geräte sind in deinem Netz?

Ich bin hier in einem Heim, da hat jedes Zimmer eine LAN Steckdose, normalerweise Steckt man dort einfach LAN Kabel rein und der PC holt sich via DHCP seine IP.
Ich hab allerdings einen Router zwischen meinem PC und der LAN Steckdose im Zimmer. Es sieht bei mir jetzt so aus, dass sich der Router eine IP holt (aus dem LAN) und mein PC holt sich beim Router eine.
Die Verbindung PC <--> meinem Router ist ok, d.h. komme ins Routerinterface.

Das Problem ist, dass mein Router plötzlich keine IP mehr bekommt und auch wenn ich den Router weg nehme und das Kabel direkt in die LAN Steckdose steck (PC <--> LAN Steckdose an Wand), dauert es auch viel länger bis ich endlich eine IP zugewiesen bekomme (Wenigstens bekomm ich ohne Router überhaupt eine..).

Internetverbindung: DHCP (soweit ich das verstanden habe)
Die Pakete hab ich direkt auf meinem PC gecaptured (ohne dass mein Router dazwischen war, also der PC war direkt an der LAN Steckdose an der Wand)
Welche Geräte genau in dem LAN sind weiss ich leider nicht genau, ich weiß, dass ***.232.228.126 ein Gateway ist, über den meine Verbindungen laufen, wenn die DHCP Vergabe korrekt verläuft. Im LAN sind auf jedem Fall auch PCs anderer User aus dem Heim hier.

Seht euch das z.b. an, habs rot eingerahmt.

http://www8.picfront.org/picture/QgRaTGdO9Hi/thb/Unbenannt-2.jpg (http://www.picfront.org/d/QgRaTGdO9Hi/Unbenannt-2.jpg)

1) Sieht aus als möchte ein PC eine IP Adresse (Discover).
2) ***.232.1.5 sendet ein (Offer) zu Ihm zurück.
3) Der PC sendet ein (Request) zurück.
4) 192.168.0.20 sendet plötzlich ein (NAK) rein.
5) ***.232.1.5 sendet ein (ACK).

:confused:

Dann wende dich an denjenigen der das Heimnetz administriert. Geh da hin, sag du hast Probleme per DHCP ne Adresse zu bekommen, und gib ihm deine Aufzeichnungen. Ich schätze mal da hat irgendein Depp nen eigenen DHCP-Server angeklemmt.

Danke für die Bestätigung. Habe gerade ein Mail an den Administrator geschrieben, hoffe das Hilft.
Danke nochmal für die Hilfe Absorber. :smile:

Kein Problem. Falls meine Vermutung richtig ist solltest du dich aber eventuell mal mit dem Admin unterhalten ob es so gewollt ist dass alle Rechner innerhalb des Heimnetzes miteinander kommunizieren können, da tauchen eben solche Probleme häufiger auf. Wenn es ein großes "LAN" mit Internetzugang als netter Beigabe ist dann würde ich mir an deiner stelle Gedanken machen wie du dein eigenes Netz ein wenig abtrennen kannst (der Router ist schon mal ne gute Idee, aber prinzipiell geht ab da alles von dir gesendete über das "LAN", und wenn andere dir schon einen DHCP-Server unterjubeln können dann kann man auch gleich den gesamten Traffic kapern). Ich zumindest hätte meine helle Freude an so einem Netz ;)

Genau diese Vermutung beschlich mich auch manchmal und deshalb hab ich mir den Router gekauft, damit da wenigstens eine Hardwarefirewall dazwischen ist und ich sehen kann, wann mein PC sendet (da blinkt ja das Lichtchen am Router).

Wie würde ich z.b erkennen dass mein Verkehr hier umgeleitet wird oder belauscht wird?

Was mich heute z.B. sehr stutzig macht, ist dass das Internet viel langsamer geht. Aber ich muss hier aufpassen, der Grad zwischen vorsichtig und paranoid ist schmal :D

Wenn du es so einfach sehen könntest wäre eine Gegenmaßnahme ja auch einfach. Ich spiel einfach mal die Paranoia-Karte aus:

Möglichkeit eins: Du bekommst per DHCP eine andere IP, eine andere Subnetzmaske und ein anderes Gateway. Dein gesamter Traffic geht über das neue Gateway.

Möglichkeit zwei: du bekommst zwar den gleichen IP-Bereich und sogar die gleiche IP und Gateway, aber das eigentliche Gateway wurde aus dem Netz gekegelt (oder jemand hat sich "davor" gehängt und tut nur so als wenn er der richtige wäre).

Das sind zwei relativ simple Möglichkeiten (vor allem die erste; Aufwand: ca 10 Minuten und ein Rechner beliebiger Leistungsklasse), und du kannst kaum etwas dagegen tun. Höchstens eine VPN-Verbindung wäre möglich, die kriegt man nicht so schnell gekapert. Aber da brauchst du eine Gegenstellle um halt durch das Netz zu tunneln.

Oww, Möglichkeit 2 klingt gar nicht gut.
Ich prüf immerhin manchmal den ARP Cache und schau ob die MAC Adresse auch wirklich die vom Gateway ist, aber das würde wohl nur bei Möglichkeit 1 etwas bringen.

Fühl mich jetzt nicht mehr sicher hier :frown:

Die 192.168.0.20 ist ein Gerät von Surecom. Vielleicht hat da ein anderer Bewohner etwas in seine LAN-Dose gesteckt. Zum Beispiel den LAN-Port seines Routers.

Mirko

Jo, SURECOM (http://standards.ieee.org/cgi-bin/ouisearch?00-02-44) hab ich auch nachgeschlagen, konnte aber damit nix anfangen.

Prinzipiell ist eine MAC-Adresse überhaupt kein sicheres Identifizierungsmerkmal. Es gibt viele Möglichkeiten (sowohl unter Linux als auch unter Windows) die MAC-Adresse der Netzwerkkarte zu ändern, deswegen ist die richtige MAC im ARP-Cache auch kein Anzeichen für eine vertrauenswürdige Verbindung. Es kommt halt darauf an wie weit man die Paranoia raushängen lassen will, und wie wichtig/wertvoll einem die übertragenen Daten sind.

Sieht für mich nach 'nem Rogue DHCP (http://en.wikipedia.org/wiki/Rogue_DHCP) aus, wenn Absicht oder jemand hat wirklich die Ports seines Routers verwechselt und einen Internen angestöpselt.

Wie sich herausgestellt hat war es tatsächlich so ein Rouge DHCP. Jemand hat einen Wireless Router betrieben und damit das Heimnetz gestört.
Wusste bis jetzt selbst nicht, dass unser gesamter Verkehr hier irgendwo über eine Wireless-verbindung läuft, das erklärt auch so manche Ping-schwankung.

Thx nochmal für die Hilfe von euch :smile: