Mein Mac versucht, eine Verbindung zu einem Computer eines möglichen Eindringlings herzustellen, der sich nicht mehr im Netzwerk befindet

4

Ich habe gerade eine Frage gestellt. Ich glaube, jemand anderes hat Zugriff auf mein drahtloses Netzwerk. Was nun? . Ich habe die drahtlose Sicherheit auf WPA2 geändert, das Passwort geändert, die Dateifreigabe deaktiviert usw., wie in den Antworten vorgeschlagen. Ich habe sogar mein Modem neu gestartet, damit die DCHP-Mietverträge ablaufen. (Da es sich um ein altes Modem handelt, gibt es zumindest nach dem, was angezeigt wird, keine Möglichkeit, Mietverträge zurückzusetzen.)

Aus Neugier habe ich Wireshark heruntergeladen, um zu sehen, was wirklich in meinem Netzwerk passiert.

Ich sehe immer noch 192.168.1.6, das etwas im Netzwerk tut. Schlimmer noch, ich sehe meine Maschine, 192.168.1.2, die mit ihr spricht!
Wireshark

Jetzt,

  1. Wie ist das möglich? Die DCHP-Leases des Modems besagen, dass es keine 192.168.1.6 gibt.
  2. Könnte es sein, dass sich mein Mac irgendwie an eine alte Adresse erinnert und versucht, eine Verbindung herzustellen? Warum gibt es dann eine Antwort?
  3. Warum sollte mein Mac überhaupt eine Verbindung herstellen? Die Dateifreigabe ist deaktiviert. Die Webfreigabe ist deaktiviert. Muss ich mir darüber Sorgen machen oder flippe ich ohne Grund aus?
Nivas
quelle
@Arjan, ja, ich habe mehrere Computer zu Hause. Zu diesem Zeitpunkt ist mein Mac eingeschaltet. Der Windows-Computer schläft für einige Zeit. Seine IP war 192.168.1.5, als es zuletzt aktiv war. Aber ich habe mein Modem neu gestartet, so dass die DCHP-Leases sofort ablaufen (falsch?). Die Windows-Box verwendet DHCP.
Nivas

Antworten:

7
  1. Wie ist das möglich? Die DCHP-Leases des Modems besagen, dass es keine 192.168.1.6 gibt.

DHCP weist nur IP-Adressen zu. Es ist absolut ratsam und jeder Host kann seine eigene Adresse mit oder ohne DHCP wählen.

2.Kann es sein, dass sich mein Mac irgendwie an eine alte Adresse erinnert und versucht, eine Verbindung herzustellen? Warum gibt es dann eine Antwort? 3. Warum sollte mein Mac überhaupt eine Verbindung herstellen? Die Dateifreigabe ist deaktiviert. Die Webfreigabe ist deaktiviert. Muss ich mir darüber Sorgen machen oder flippe ich ohne Grund aus?

Nach dem, was wir in diesem Teil sehen können, initiiert Ihr Mac eine TCP-Verbindung und möchte NetBIOS sprechen. NetBIOS wird häufig für die Namensauflösung verwendet, nicht unbedingt für die gemeinsame Nutzung von Dateien. Ihr Mac hat sich in der Tat an den NetBIOS-Remote-Endpunkt erinnert und stellt nun eine Verbindung zu diesem her. 192.168.1.6 spricht NetBIOS, lehnt jedoch die Verbindung ab. Dieser Verkehr an sich ist kein Problem.

mögliche Eindringlingsmaschine

Ermitteln Sie zunächst die IPv4-Adresse des Routers. Es ist wahrscheinlich 192.168.1.1, aber wenn es .6 ist, ist das Rätsel gelöst. Deaktivieren Sie dann das WLAN vorübergehend und stellen Sie eine Kabelverbindung her. Stellen Sie sicher, dass kein anderer Computer angeschlossen ist, weder über Kabel noch WLAN (WLAN-LED sollte aus sein). Legen Sie dann ein neues WPA2-Passwort fest, zuerst auf dem Router und dann auf allen Computern. Überprüfen Sie die IP-Adressen aller an das Netzwerk angeschlossenen Computer, um sicherzustellen, dass 192.168.1.6 kein alter Dateiserver in Ihrem Schrank ist. Wenn Sie den Eindringling immer noch erkennen können (und ich wette, Sie stehen vor einer Fehlkonfiguration, nicht vor einem Eindringling - ein sachkundiger Eindringling würde wahrscheinlich kein NetBIOS sprechen), stellen Sie eine neue Frage und stellen Sie sicher, dass Ihre Computer nicht kompromittiert werden.

Phihag
quelle
2

Wenn jemand eine Verbindung zu Ihrem System hergestellt hat, kann er unter Umgehung des DHCP-Servers manuell eine beliebige IP-Adresse festlegen.

Da es sowohl zu als auch von der .6-Adresse Verkehr gibt, ist offensichtlich etwas da. Sind Sie sicher, dass an Ihrem Netzwerk, einem NAS oder einem anderen netzwerkfähigen Gerät wie einem Fernseher oder möglicherweise einem digitalen Videorecorder, einer Spielekonsole, einem iPod, einem iPhone usw. nichts anderes angeschlossen ist?

Ich bin nicht sicher, wie Bonjour in Wireshark auftauchen würde, aber es könnte iTunes sein, das seine Medien teilt.

Col
quelle
Ich habe mein WLAN-Protokoll geändert und mein Modem neu gestartet. Ist es noch möglich , dass jemand noch mit dem Netzwerk verbunden?
Nivas
Es ist unwahrscheinlich, dass es sofort passiert ist, wenn Sie keine Netzwerkgeräte angeschlossen haben.
Col
Nein, keine Geräte angeschlossen.
Nivas
Ich bin nicht sicher, ob der MAC dies unterstützt, aber versuchen Sie es mit arp -a 192.168.1.6, das die MAC-Adresse des Geräts zurückgeben und diese MAC-Adresse dann vom Router blockieren sollte.
Col
Auf einem Mac: entweder arp -aum eine vollständige Liste der MAC-Adressen anzuzeigen oder arp 192.168.1.6um nur diesen Eintrag anzuzeigen.
Arjan