intruder detection bei L54ag im p2p Betrieb

wildcard · Beitrag von **wildcard** » 04 Mär 2006, 19:12

hi

ich habe seit einiger zeit (ca. 2-3 monate) öfters mal das die firewall auf den accesspoints anspricht.
ich habe eine p2p strecke mit 2 L54ag, das paket scheint auch nur auf den aps anzukommen und nicht am router da der keine meldungen dazu bringt.
die aps haben wpa2 verschlüsselung aktiviert und mac filterung, ssid ist auch ausgeschalten
allerdings kann ich mir nicht so recht erklären wo diese pakete immer herkommen, vielleicht kann mir ja einer von euch was dazu sagen

Code: Alles auswählen

Date: 3/4/2006 18:26:43

The packet below

Src: 0.0.0.0:0 {Client1}  Dst: 255.255.255.255:67 (UDP)


   45 00 01 48 00 00 00 00  3c 11 7d a6 00 00 00 00 | E..H.... <.}.....
   ff ff ff ff 00 00 00 43  01 34 00 00 01 01 06 00 | .......C .4......
   00 00 15 7c 00 00 00 00  00 00 00 00 00 00 00 00 | ...|.... ........
   00 00 00 00 00 00 00 00  00 50 9c 1e 61 9d 00 00 | ........ .P..a...
   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........

matched this filter rule: intruder detection
filter info:              packet received from invalid interface P2P-1-1

sieht aus wie ein bootp oder dhcp broadcast aber wo kommt der her?

alf29 · Beitrag von **alf29** » 05 Mär 2006, 10:59

Moin,

wenn ich das DHCP-Paket zu Fuß dekodiere, finde ich als Client-Hardware-Adresse
00:50: 9c:1e:61:9d, als 'Eigentümer' der OID 00:50:9c 'Beta Research, Unterföhring' -
ist das evtl. eine Settop/Streaming-Box?

DHCP-Pakete sollten die Firewall normalerweise nicht triggern, weil sie notwendigerweise
noch keine korrekten IP-Adressen enthalten. Ich vermute, dieses Paket wurde nicht
als DHCP erkannt, weil es einen ungültigen Quellport enthält - bei DHCP-Requests muß
der UDP-Quellport 68 (BOOTPC) und nicht Null sein. Dieses Gerät scheint also einen
leichten Schlag in seiner DHCP-Implementation zu haben...

Gruß Alfred

wildcard · Beitrag von **wildcard** » 05 Mär 2006, 14:18

hi

danke dir alf29, damit hab ich den übeltäter auch schon gefunden

muss ich mir mal genauer anschauen was mit der box nicht in ordnung ist

langewiesche · Beitrag von **langewiesche** » 05 Mär 2006, 15:18

schon mal sind die dboxen .... mit linux etwas kommisch ... je nach image

wildcard · Beitrag von **wildcard** » 05 Mär 2006, 15:21

hehe

Beitrag von **LoUiS** » 05 Mär 2006, 16:53

Hi,

meine DBox2 mit Linux und Myrmidon Image macht das definitiv nicht und die laeuft ueber ein C54 als Client angebunden an ein 18xx schon seit Monaten ohne Probleme.

Ciao
LoUiS

langewiesche · Beitrag von **langewiesche** » 06 Mär 2006, 00:04

meins auch ned aber du weisst doch wie schlechte versionen es im netz gibt ...

wildcard · Beitrag von **wildcard** » 06 Mär 2006, 06:45

naja das lustige ist ja eigentlich das ich mehrere boxen mit dem gleichen image hab und nur die eine da spinnt rum. aber egal, jetzt weiss ich wo der fehler herkommt