 |
|
|
|
| Autor |
Nachricht |
wildcard
Anmeldungsdatum: 05.04.2005
Beiträge: 76
|
 Verfasst am:
Sa 04 März, 2006 20:12 |
  |
|
hi
ich habe seit einiger zeit (ca. 2-3 monate) öfters mal das die firewall auf den accesspoints anspricht.
ich habe eine p2p strecke mit 2 L54ag, das paket scheint auch nur auf den aps anzukommen und nicht am router da der keine meldungen dazu bringt.
die aps haben wpa2 verschlüsselung aktiviert und mac filterung, ssid ist auch ausgeschalten
allerdings kann ich mir nicht so recht erklären wo diese pakete immer herkommen, vielleicht kann mir ja einer von euch was dazu sagen 
| Code:
|
Date: 3/4/2006 18:26:43
The packet below
Src: 0.0.0.0:0 {Client1} Dst: 255.255.255.255:67 (UDP)
45 00 01 48 00 00 00 00 3c 11 7d a6 00 00 00 00 | E..H.... <.}.....
ff ff ff ff 00 00 00 43 01 34 00 00 01 01 06 00 | .......C .4......
00 00 15 7c 00 00 00 00 00 00 00 00 00 00 00 00 | ...|.... ........
00 00 00 00 00 00 00 00 00 50 9c 1e 61 9d 00 00 | ........ .P..a...
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ........ ........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ........ ........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ........ ........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ........ ........
matched this filter rule: intruder detection
filter info: packet received from invalid interface P2P-1-1
|
sieht aus wie ein bootp oder dhcp broadcast aber wo kommt der her? |
_________________
gruß
wildcard |
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
So 05 März, 2006 11:59 |
|
|
Moin,
wenn ich das DHCP-Paket zu Fuß dekodiere, finde ich als Client-Hardware-Adresse
00:50: 9c:1e:61:9d, als 'Eigentümer' der OID 00:50:9c 'Beta Research, Unterföhring' -
ist das evtl. eine Settop/Streaming-Box?
DHCP-Pakete sollten die Firewall normalerweise nicht triggern, weil sie notwendigerweise
noch keine korrekten IP-Adressen enthalten. Ich vermute, dieses Paket wurde nicht
als DHCP erkannt, weil es einen ungültigen Quellport enthält - bei DHCP-Requests muß
der UDP-Quellport 68 (BOOTPC) und nicht Null sein. Dieses Gerät scheint also einen
leichten Schlag in seiner DHCP-Implementation zu haben...
Gruß Alfred |
|
|
 |
|
wildcard
Anmeldungsdatum: 05.04.2005
Beiträge: 76
|
| Verfasst am:
So 05 März, 2006 15:18 |
|
|
hi
danke dir alf29, damit hab ich den übeltäter auch schon gefunden
muss ich mir mal genauer anschauen was mit der box nicht in ordnung ist |
_________________
gruß
wildcard |
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
So 05 März, 2006 16:18 |
|
|
schon mal sind die dboxen .... mit linux etwas kommisch ... je nach image |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
 |
|
wildcard
Anmeldungsdatum: 05.04.2005
Beiträge: 76
|
| Verfasst am:
So 05 März, 2006 16:21 |
|
|
hehe |
_________________
gruß
wildcard |
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
So 05 März, 2006 17:53 |
|
|
Hi,
meine DBox2 mit Linux und Myrmidon Image macht das definitiv nicht und die laeuft ueber ein C54 als Client angebunden an ein 18xx schon seit Monaten ohne Probleme.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Mo 06 März, 2006 01:04 |
|
|
meins auch ned aber du weisst doch wie schlechte versionen es im netz gibt ... |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
|
|
wildcard
Anmeldungsdatum: 05.04.2005
Beiträge: 76
|
| Verfasst am:
Mo 06 März, 2006 07:45 |
|
|
naja das lustige ist ja eigentlich das ich mehrere boxen mit dem gleichen image hab und nur die eine da spinnt rum. aber egal, jetzt weiss ich wo der fehler herkommt |
_________________
gruß
wildcard |
|
|
|
|
|
|
|
| |
|
|
