"ARP Cache-Poisoning-Angriff erkannt" von 916+

[Macintom]

Guten Morgen zusammen.

Gestern habe ich mal meine AV-Software auf den neuesten Stand gebracht.
Ist von ESET und seitdem gibt´s hier diese komische Meldung:

Was zur Hölle ist das was von der 916+ da kommt?

Grüße, Tom

 

[Joaquim]

Morgen,

schau mal hier --> Detected ARP cache poisoning attack

 

[Macintom]

Vielen Dank. Den KB-Artikel hatte ich zwischenzeitlich schon gefunden.
Nur was für einen Traffic verursacht die 916+? Weiss das jemand?

 

[RedMoon]

das gleiche bei mir. Habe die Syno IP zwar aus der Überwachung herausgenommen, aber trotzdem würde ich doch gerne wissen, was das NAS da macht. Könnte das NAS selber kompromittiert sein?

 

[blurrrr]

Also mein ESET NOD32 (rein Antivirus) meckert da nicht rum... Mit "arp -a" in der Eingabeaufforderung kannst Du Dir die entsprechenden ARP-Tabellen ansehen (bzw deren Einträge/Zuordnungen (MAC/IP)). Dort wird die Zuordnung von MAC-Adresse zu IP-Adresse gespeichert. Ich kann es mir nicht vorstellen, aber vielleicht meckert ESET (schon aufgrund der wahnwitzigen Lösungen die von ESET im KB-Artikel beschrieben werden...) allein aufgrund der Tatsache, dass sich ggf. die IP des NAS verändert hat? die .9 erscheint mir doch eher DHCP-erzeugt zu sein, oder hast Du die fest in der Syno vergeben?

ARP-Cache-Poisoning wäre in dem Fall die Veränderung der Zuordnungen der ARP-Tabelle und sowas passiert eigentlich nur, wenn sich die IP entsprechend verändert, wobei die lokale Tabelle vielleicht noch andere Werte hat. Evtl. unterbindet ESET dann auch noch den Zugriff auf das entsprechende Gerät, aufgrund einer vermeintlichen Bedrohung. Das kannst Du aber relativ leicht überprüfen... schau Dir Deine Tabelle an... die IP der Syno weisst Du ja bestimmt bzw. müsste es ja die .9 sein. Such die .9 in der Liste und schaue auf die MAC-Adresse... Diese sollte mit 00:11:13:.... beginnen, falls nicht, nenne doch kurz hier die ersten 3 Stellen, damit das nochmal überprüft werden kann. Die ersten 3 Stellen einer MAC-Adresse werden normalerweise direkt an die Hersteller vergeben, so dass man anhand der ersten 3 Stellen der MAC-Adresse schon auf den Hersteller schliessen kann.

Um den ARP-Cache zu löschen, starte die Eingabeaufforderung als Administrator und führe folgendes aus: "arp -d" (damit wird die Tabelle geleert). Da im ESET-Artikel auch noch der DNS-Cache erwähnt wird, so leerst Du auch diesen: "ipconfig /flushdns". Dann kann sich Dein Rechner die Infos neu ziehen und ESET sollte sich damit auch zufrieden geben. Eventuell - ich weiss ja nicht, welche ESET-Version Du hast, wie gesagt ich habe nur den einfachen NOD32 - legt ESET aber auch einen eigenen ARP-Cache an und vielleicht passt ihm die Änderung in Deiner Tabelle nicht, weil es eben nicht zu seiner Tabelle passt... notfalls einfach mal in die ESET-Einstellungen gucken, ob es da ggf. irgendwas passendes gibt.

Wenn nicht... sind bei Dir im Haushalt noch irgendwelche sonstigen Geräte direkt aus dem Internet erreichbar? Wenn ja - welche? Wenn nicht hört sich das erstmal nach einer Falschmeldung an. Da könntest Du aber ggf. mal ESET informieren, alternativ können die Dir vielleicht noch den ein oder anderen Hinweis geben, ausser natürlich "nimm das Gerät einfach aus der Überprüfung raus"... was Du natürlich machen kannst um instant "Ruhe" zu haben, aber das unbedingt Sinn und Zweck der Sache ist....

 

[RedMoon]

Die Meldung kommt nur von Eset Internet Security, NOD32 ohne Firewall meldet da nichts. Das oben habe ich alles schon gemacht,arp-a, MAC und IPs gegen gecheckt, den Cache gelöscht, aber die Meldung bleibt. die gleiche Meldung kommt auch von meinem Drucker. Außerdem soll mein Router ICMP Flood Angriffe bei mir im Netz durchführen, aber nur wenn ich die ESET Oberfläche aufrufe. Ich denke ESET übertreibt es, aber trotzdem bleibt ein ungutes Gefühl

 

[blurrrr]

Hm..... das hört sich grade eher so an, als würde ESET schlichtweg Amok laufen (was ja auch nicht das erste mal wäre...). Naja, alles was als "Angriff" bezeichnet wird ist noch lange nicht unbedingt wirklich ein Angriff... Ist halt Definitionssache... sind 5 Anfragen pro Minute ein Angriff? 10? 50? 100? Man weiss es nicht... ESET gibt also etwas vor, was nach deren Geschmack passend ist, ggf. auch einfach ein Fehler in der Software (apropos, hast Du da ggf. mal ein Update gemacht bzw. bist up2date?). Ich glaube auch nicht, dass "Router, Drucker und NAS" von irgendwas befallen sind... der Drucker.. wird vermutlich versuchen mit der Druckersoftware auf Deinem PC zu kommunizieren (Du willst ja, dass er Dir angezeigt wird, wenn Du an den Drucker gehst und ggf. etwas an den Rechner scannen willst), der Router checkt vllt nur seine Umgebung ab (zur Anzeige im Webinterface, welche Netzwerkclients denn vorhanden sind) und das NAS... tja.. wer weiss ... ARP... vielleicht schlichtweg die Änderung der IP-Adresse via DHCP, damit passt die alte IP nicht mehr zur MAC-Adresse und schon geht das Gerappel los (sofern ESET da ggf. wirklich mit einer Kopie des ARP-Caches arbeitet). Grade beim Einsatz von DHCP problematisch, von daher setz die NAS-IP am besten statisch (oder eine DHCP-Reservierung im Router für das NAS).

Wie gesagt - irgendwas von aussen offen erreichbar? Eine IP-Cam z.B.?

EDIT: Ich mein.. das muss man sich mal reintun auf der ESET-Seite... WENN eine Bedrohung erkannt wird, gibt es 2 "Lösungen": 1) ignorier es (Ausschlussliste), 2) Lösche alles was auf die Attacke hindeuten könnte (DNS Flush Tool)... also ich find das ... Top! Die wissen wie es geht!

 

[RedMoon]

ja, denke auch dass ESET hier übertreibt. Da meine Lizenz sowieso bald ausläuft, werde ich mal nach einer anderen AV Lösung Ausschau halten. Leider kenne ich außer ESET nichts, was den Rechner wenig belastet

 

[blurrrr]

Nimm einfach nicht die "Suite" (von den Dingern halte ich sowieso nichts, egal welcher Hersteller...). Wie gesagt... ich selbst nutze NOD32 bzw "Endpoint Antivirus" ohne den ganzen Schnickschnack (SocialMediaScanner, extra Firewall, blablabla) und habe nie Probleme gehabt (seit knapp 6 Jahren ESET-Dauernutzung). Man sollte halt einfach den Werbeversprechen nicht glauben und nicht immer "alles" nehmen, was man kriegen kann... Verhält sich ein wenig wie bei Nero (dem Brennprogramm)... "vor langer langer Zeit" war es wirklich ganz nett... aber mit der Zeit kamen zig Sachen dazu und wenn man es heute kauft, ist es direkt ein Bundle mit zig Apps für dies und das und jenes und haste nicht gesehen... totaler Mist... Wenn Du z.B. ein Auto kaufst, kaufst Du ja nicht noch den elektrischen Zaun mit, den Du um Dein Auto stellen kannst, oder das Asteoriden-Abwehr-Dach... (ist nun natürlich arg überspitzt, aber ich glaub Du weisst, was ich meine *g*).

Was andere Lösungen angeht... die tun sich da alle nicht so viel... ausser Kaskersky und Norton, da die ganz besonders negativ aufgefallen sind, durch ihre "eigene" Festlegung der Netzwerkadapter (plötzlich ist das heimische WLAN ein "öffentliches" Netz und nix geht mehr.... stellt man es auf "privat" um und es funktioniert wieder alles, kann es mit dem nächsten Update gut sein, dass es wieder "öffentlich" ist.... ist mir nun schon mehrfach untergekommen). Zudem finde ich, dass ESET da schon recht ressourcenschonend ist und - für mich ein ganz wesentlicher Punkt - geht mir nicht auf den Nerv, wenn irgendwas ist... kleines PopUp, was dann auch relativ flott wieder weg ist.. wunderbar... letzter Stand bei McAfee bei mir ist z.B., dass direkt der gesamte Bildschirm gesperrt wird und die AV-Lösung nun "definitiv" erstmal was von Dir will und alles andere geht erstmal "nicht". Kann ich ja mal leiden sowas .... *g*