Wie erhalte ich weitere Informationen zu einem potenziellen Netzwerk-Freeloader?

7

Ich habe ein Heimnetzwerk eingerichtet, das ein relativ gutes Passwort enthält. Ich bin in Mac OS X 10.6 (Snow Leopard) und habe gelegentlich bemerkt, dass ein Computer in meinem Finder-Bereich "Shared" angezeigt wird, der nicht zu meinem eigenen gehört (die unten abgebildete Box "pe-xpjalle"). Er hat die Tendenz zu kommen und zu gehen.

Schmarotzer

Wie kann ich seine MAC-Adresse oder etwas herausfinden, damit ich ihn blockieren kann? Ich habe meine "Protokolle und Statistiken" im Airport Utility überprüft und diesen Computer unter DHCP-Clients nicht gesehen. Ich möchte mein Passwort lieber nicht ändern, da ich einige Geräte habe, die ich aktualisieren müsste. Gibt es einen anderen Grund, warum er in meinem Netzwerk auftaucht, als mein Passwort erraten zu haben?

Update : Ich habe die Dropbox-URL oben korrigiert (wie peinlich, ich bin neu bei Dropbox. Danke für das Heads-up, Doug.)

Update 2 : Ich habe versucht, nur zum Teufel auf "Verbinden als ..." zu klicken, und habe den folgenden Dialog erhalten. Jetzt habe ich noch weniger Ahnung, was los ist als zuvor. Ich habe keine Parallelen zu VMware, nur die folgenden: Übertragung, NetNewsWire, Mail, Dinge, Safari, iTunes, Photoshop, Seiten, Yojimbo, Einstellungen, AppleScript-Editor, Software-Update, Flughafen-Dienstprogramm und Terminal. Ich glaube nicht, dass einer von ihnen eine virtuelle Netzwerkmaschine erstellt, oder? Und keine meiner VMware-Maschinen hatte jemals einen Namen, der "pe-xpjalle" ähnelte.

Dialog

Update 3 : Ich habe gerade meine Passwörter in meinen N- und G-Netzwerken geändert und sehe dies immer noch. Daher bezweifle ich sehr, dass es jemand ist, der mein Passwort herausgefunden hat (jetzt zweimal). Ich bin wirklich ratlos.

Dov
quelle
Wenn er nicht in der DHCP-Client-Tabelle angezeigt wird, bezweifle ich, dass er sich in Ihrem Netzwerk befindet.
Rodey
1
@rodey Es ist ziemlich einfach, verwendbare Adressen aus dem Schnüffeln von Datenverkehr zu ermitteln und dann einfach statisch zuzuweisen. Ich würde erwarten, dass jemand versucht, hinterhältig zu sein, anstatt DHCP zu nehmen (damit er nicht in der Tabelle auftaucht). Wenn Sie den Schlüssel knacken, ist dies auch sehr einfach. Nicht etwas, was ein ahnungsloser Nachbar von Joe Random normalerweise tun würde.
Brian Knoblauch

Antworten:

9

Wenn er Ihre Verschlüsselung bereits beschädigt hat, bringt Sie die MAC-Adressfilterung nicht weiter. Der einfachste und sicherste Weg, Ihr Netzwerk zu sichern, besteht darin, das Kennwort für Ihr Netzwerk zu ändern und die WPA2-Verschlüsselung zu aktivieren.

Russ Warren
quelle
Wenn möglich, sollten Sie das WLAN vollständig entleeren. Wenn Sie sich mit einem Laptop bewegen, brauchen Sie ihn natürlich, aber wenn es sich nur um eine Situation mit festen Maschinen handelt, in der ich keine Lust habe, die Verkabelung zu installieren, sollten Sie es sich vielleicht noch einmal überlegen!
Brian Knoblauch
Ich denke auch, es fällt mir schwer, mir vorzustellen, dass jemand meine Verschlüsselung kaputt gemacht hat. Ich lebe in einem Vorort und habe wahrscheinlich weniger als ein halbes Dutzend Nachbarn, sogar in Reichweite meines Netzwerks. Mein G-Netzwerk wird von einem einzigen Airport Express bedient, und mein 2-Airport-Extreme-Netzwerk ist nur N, was potenzielle Kunden noch knapper macht.
Dov
Wie in meinem letzten Update erwähnt, habe ich jetzt meine Passwörter geändert und WPA2 immer aktiviert. Es sieht also so aus, als wäre es möglicherweise keine tatsächliche Person in meinem Netzwerk. Irgendwelche Ideen?
Dov
1

Wenn es unter den DHCP-Clients nicht angezeigt wird, sind Sie sicher, dass es sich in Ihrem lokalen Netzwerk befindet?

Ich habe festgestellt, dass der Cache des freigegebenen Abschnitts des Finders nicht zu oft aktualisiert wird. Wenn Ihr Computer ein Laptop ist, ist es möglich, dass diese pe-xpjalle in einem anderen Netzwerk gefunden wurde und dann immer noch angezeigt wurde, als Sie nach Hause kamen.

Alternativ ist Ihr Computer möglicherweise in ein anderes Netzwerk gewechselt.

Möglich?

Doug Harris
quelle
Ich glaube nicht, dass dies der Fall wäre, da es sich bei dem Computer, auf dem ich dies bemerke, um einen Mac Pro handelt und der fremde Computer wiederholt angezeigt und ausgeblendet wird. Ich bin über Ethernet verbunden und habe meinen Flughafen in meinen Netzwerkeinstellungen ausgeschaltet, sodass ich überhaupt kein Roaming durchführen sollte.
Dov
1

In einem ähnlichen Zusammenhang können Sie den arpBefehl verwenden, um die MAC-Adresse einer beliebigen IP-Adresse zu ermitteln, mit der Ihr Computer kürzlich kommuniziert hat.

arp -a zeigt Ihnen Ihre gesamte MAC-Tabelle.

Weitere Informationen finden Sie hier: http://developer.apple.com/mac/library/documentation/Darwin/Reference/ManPages/man8/arp.8.html

Christopher Karel
quelle
Ich habe diesen Befehl ausgeführt und erhalte 6 Antworten. 5 befinden sich in meinem lokalen 192.168.0. * Subnetz, das andere in 169.254.255.255, was mir überhaupt nicht bekannt vorkommt. Von den 5 Adressen 192.168.0. * Ist 192.168.0.1 mein Router, und ich kann den Rest in der DHCP-Liste bis auf eine berücksichtigen. 192.168.0.255 befindet sich nicht in meiner DHCP-Client-Liste und liegt tatsächlich außerhalb meines DHCP-Bereichs, da die Endadresse auf 192.168.0.200 festgelegt ist. Das sieht auf jeden Fall verdächtig aus ...
Dov
Das ist normalerweise die Broadcast-Adresse. Es ist kein echtes Gerät, sondern eine vom Router bereitgestellte IP, deren Pakete alle anderen angeschlossenen Geräte weiterleiten. Dies ist normal und sollte nicht geändert werden, da DHCP-Clients funktionieren müssen.
marcusw
Was ist dann mit dieser 169.254.255.255-Adresse, die völlig außerhalb der Reichweite meines lokalen Netzwerks liegt?
Dov
169.254.xx sind IP-Adressen für die automatische Konfiguration. Wenn ich als Client keine IP-Adresse über DHCP erhalten kann, gibt er sich selbst eine aus diesem Bereich. 169.254.255.255 ist die Broadcast-Adresse für dieses Netzwerk.
Christopher Karel
OK, dann gab mir das Ergebnis des "arp -a" keine wirklichen Informationen über meinen potentiellen Eindringling. Trotzdem danke, das ist gut zu wissen.
Dov
1

Ab den Updates 2 und 3 klingt es wirklich so, als ob auf Ihrem Computer etwas Seltsames läuft. Hier sind einige Tricks, um diese Möglichkeit zu untersuchen: Zunächst können Sie die IP-Adresse des Phantoms mit dem folgenden Befehl abrufen findsmb:

$ findsmb

                                *=DMB
                                +=LMB
IP ADDR         NETBIOS NAME     WORKGROUP/OS/VERSION 
---------------------------------------------------------------------
192.168.0.12    PE-XPJALLE    [ WORKGROUP     ]

Wenn dies mit der IP-Adresse Ihres Mac zurückkommt (wie in Update 2 vorgeschlagen), versuchen Sie lsof, das Programm auszuführen, um festzustellen, welches Programm NetBios / Microsoft-Netzwerke auf Ihrem Computer ausführt:

$ sudo lsof -i | egrep "netbios|microsoft"
Password: [enter your admin password here]
launchd       1           root  103u  IPv4 0x07af52d4      0t0    TCP *:microsoft-ds (LISTEN)
launchd       1           root  105u  IPv4 0x05914740      0t0    TCP *:netbios-ssn (LISTEN)
nmbd      11168           root    6u  IPv4 0x0755b370      0t0    UDP *:netbios-ns
nmbd      11168           root    7u  IPv4 0x064f8054      0t0    UDP *:netbios-dgm
nmbd      11168           root    8u  IPv4 0x05a48e14      0t0    UDP 192.168.0.12:netbios- ns
nmbd      11168           root    9u  IPv4 0x056f3810      0t0    UDP 192.168.0.12:netbios-dgm
smbd      11175           root   19u  IPv4 0x05914740      0t0    TCP *:netbios-ssn (LISTEN)
smbd      11175           root   20u  IPv4 0x07af52d4      0t0    TCP *:microsoft-ds (LISTEN)

Im obigen Beispiel ist die Samba-Dateifreigabe aktiviert, sodass smbd (SMB-Daemon) und nmbd (Namensbindungsdämon) sowie der Systemstart (der smbd bei Bedarf startet) im entsprechenden Netzwerk aktiv sind Häfen. Beachten Sie, dass, wenn auf Ihrem Mac eine VM ausgeführt wird, dies meiner Meinung lsofnach nicht angezeigt wird, da sie sich auf einer niedrigeren Ebene in das Netzwerk einbinden.

Gordon Davisson
quelle
Ich hatte Parallels Desktop vor langer Zeit nicht mehr verwendet, aber anscheinend habe ich es nicht vollständig deinstalliert, sodass einige seiner Daemons noch ausgeführt wurden. Ich hatte keine Chance, zuerst findmb auszuführen, aber das hätte wahrscheinlich dazu beigetragen, darauf hinzuweisen. Seit der Deinstallation habe ich "pe-xpjalle" noch nicht in meiner Seitenleiste gesehen. Ich weiß immer noch nicht, woher dieser Name kommt, aber das schien es zu tun.
Dov
1

An diesem Punkt scheint es schlüssig zu sein, dass diese ganze Sache durch Reste meiner Parallels Desktop-Installation (insbesondere eines Netzwerk-Daemons) verursacht wurde, die beim Wechsel zu VMware Fusion nicht ordnungsgemäß deinstalliert wurden. Seit dem vollständigen Entfernen von Parallels, wie hier beschrieben , habe ich "pe-xpjalle" in meiner Seitenleiste nicht mehr gesehen. Vielen Dank für all die Hilfe.

Dov
quelle
Für die folgenden Personen ist es jetzt zum ersten Mal seit Dezember wieder aufgetaucht. Und ich habe Parallels überhaupt nicht neu installiert und VMWare in letzter Zeit noch nicht einmal ausgeführt (oder aktualisiert).
Dov
0

Der 'PE-XP'-Teil dieses Namens lässt mich an WinPE denken, wie es auf Windows-Boot- / Wiederherstellungs-CDs zu finden ist. Sie haben in letzter Zeit keine davon ausgeführt? Vielleicht ist dies nur ein ruhender Eintrag davon? (Schuss im Dunkeln ..)

Was passiert auch, wenn Sie den Router neu starten? Verbindet sich dieser Schurke sofort wieder? Haben Sie so viele Geräte in Ihrem Netzwerk wie möglich getrennt (Netzwerkspeicher, andere Laptops, Drucker usw.), um sicherzustellen, dass sich nichts in einem Ihrer Systeme befindet?

mpeterson
quelle
Nein, ich habe seit einiger Zeit nichts mehr mit Windows zu tun. In Bezug auf andere Geräte stellen alle meine Geräte eine Verbindung über DHCP her und werden alle in der DHCP-Kundenliste im Airport Utility angezeigt. Mein einziger Netzwerkspeicher ist das an mein Airport Utility angeschlossene USB-Laufwerk, und mein einziger Drucker ist über USB mit meinem Computer verbunden.
Dov
0

Wenn der Benutzer tatsächlich mit Ihrem Netzwerk verbunden ist (was einige Leute hier als zweifelhaft bezeichnen), sollten Sie in der Lage sein, den von ihnen kommenden Datenverkehr zu sehen, wenn Sie für eine Weile einen Paket-Sniffer ausführen. Suchen Sie einfach nach Datenverkehr, der von einer anderen IP-Adresse stammt als der, die Sie Computern in Ihrem Haus zugewiesen haben. Wenn Sie zu bestimmten Tageszeiten keine Geräte eingeschaltet haben, führen Sie dann eine Erfassung durch. Jeder Verkehr, der auftaucht, ist wahrscheinlich Ihr Eindringling. Sobald Sie Datenverkehr erfasst haben, haben Sie die MAC-Adresse und können entsprechende Maßnahmen ergreifen.

nhinkle
quelle
Ich habe noch nie einen Paket-Sniffer verwendet - gibt es benutzerfreundliche für OS X (vorzugsweise mit einer Art GUI)?
Dov
Das, was ich am häufigsten sehe, ist WireShark. Sie können es kostenlos von <a href=" wireshark.org/download.html"> ihrer Website </a> herunterladen. Es hat eine grafische Benutzeroberfläche und ist einfach zu bedienen, wenn Sie die Dokumentation lesen.
Nhinkle
Entschuldigung - anscheinend funktionieren HTML-Links in Kommentaren nicht. Lassen Sie mich es noch einmal versuchen ... wireshark.org/download.html
nhinkle