Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unbekannte IP im Netzwerk anderes Subnetz

Mitglied: Re-Animator

Re-Animator (Level 1) - Jetzt verbinden

27.04.2012, aktualisiert 30.05.2012, 5136 Aufrufe, 12 Kommentare, 1 Danke

Hallo allerseits,
ich habe wiedermal ein Problem das ich mangels Ausstattung derzeit nicht in Griff bekomme
aber es könnte auch ein Phantom sein somit benötige ich einfach mal Euere Einschätzung

In meinem Netzwerk taucht in unregelmäßigen Zeitabständen eine IP auf die nicht zum Netz passt.

Ich betreue ein simpel ausgestattet Netzwerk, das soweit zufriedenstellend läuft.

Aufbau

Draytek Router1 - HP Switch2 1000mbit - Longshine Switch3 100mbit ca. 35 PC´s
Router1 - Vlan Segment - Fritzbox(als Router) Wlan

Netz: 192.168.0.0
Subnet: 255.255.255.0

Am Switch1 hängen ein Dateiserver Linux , Sicherungsserver, und ein NAS Backupserver Linux, Workstation mit einem CRM System.

Mein Problem ist, daß ich seit 3 Tagen in unregelmäßigen Abständen von mehren Stunden ein Meldung bekomme

IP Address: 192.168.0.xxx
Date/Time: 04/26/2012 15:21:38
Level: Warning
[Security] Access Violation from 192.168.167.2 with TCP (port=139)

Möglichkeit 1
Ich denke hier macht sich einer zu schaffen, aber ich kann diese Ip bzw. Mac in keinem Cache finden.
Ich finde Sie nicht im Netz und kann Sie nicht anpingen.
Im Router (Draytek 2200) taucht Sie weder im Cache noch sonst irgendwo auf.

Möglichkeit 2
Netzwerkkarte, Router defekt eventuell auch Treibersoftware!


Jetzt habe ich einen Untangle Server dazwischen geklemmt (Transparent Proxy), der hat etwas Performance Probleme mit den Emails und leider findet der integrierte Virusblocker (Trail) nicht mal Eicar!!!
Aber man sieht wenigstens was so läuft im Netz !!!

Von Außen scheint es also nicht zu kommen somit sofern keine Malware einen PC als Relay benutzt!

Jetzt habe ich mir noch einen Managed Switch besorgt um den Port zu spiegeln um wenigstens mal eine Mac zu bekommen!!!


Wie schätzt Ihr das Phänomen ein ?
gebt mir mal ein paar Ideen, wie schätzt Ihr die Sache ein ?

Ich bin für jede Hilfe Dankbar
Mitglied: rotewolke
27.04.2012 um 14:52 Uhr
Hallo Re-Animator

Von wo bekommst du diese Meldung?
Bitte warten ..
Mitglied: Re-Animator
27.04.2012 um 15:05 Uhr
Die Meldung bekomme ich von der Backup Nas, diese hat einen Zugriffsbereich von 255.255.255.0 somit liegt die Unbekannte Ip außerhalb Ihres Netzes.
Das verursacht dann die Meldung!


Gruß Re-anni
Bitte warten ..
Mitglied: Re-Animator
27.04.2012 um 16:23 Uhr
Danke für den Hinweis das hatte ich auch schon gesehen aber es ist im Netz kein VM installiert!
Kein VPN und beide firewalls sind zu.

Ich kann das Ganze auf 4 Rechner eingrenzen an dem vermuteten Rechner habe ich den Switch ausgetauscht und sniffe mit.

Nun warte ich auf das richtige Päckchen !!!
Bitte warten ..
Mitglied: Angtagapagligt
27.04.2012 um 16:30 Uhr
Okay... Schade...
Sorry hatte vorhin nicht viel Zeit zu schreiben.
Bitte warten ..
Mitglied: 106009
27.04.2012 um 16:31 Uhr
Hi,

sind in deinem Netz auch Notebooks aktiv? Wenn ja, vielleicht hat jemand für seinen Homebereich seine IP geändert und vergessen, die zurückzustellen .

Gruß
Bitte warten ..
Mitglied: Re-Animator
27.04.2012 um 16:36 Uhr
nein es sind keine Privaten Notebooks aktiv
Zu dem Zeitpunkt als die ersten Meldungen kamen waren wie gesagt nur 4 Rechner an das macht es schon einfacher
aber ohne mac und Tabelle keine zuordnung.

Zur Zeit bekomme ich auch keine Meldung ich habe einen Switch ausgetauscht um den verkehr mitzuschneiden zu können eventuell hat das Gerät einen hau!
Bitte warten ..
Mitglied: 106009
27.04.2012 um 16:41 Uhr
Na gut, war ja auch nur ein Gedanke.
Bitte warten ..
Mitglied: Re-Animator
27.04.2012 um 16:43 Uhr
jeder Gedanke ist willkommen

eventuell veralbert mich ja nur einen defekte Hardwarekomponente.
Bitte warten ..
Mitglied: 106009
27.04.2012 um 17:03 Uhr
Gelöscht, war nicht gut. Ich war auf Windows fixiert und du arbeitest unter Linux, da habe ich keine Ahnung.

Gruß
Bitte warten ..
Mitglied: filippg
28.04.2012 um 01:22 Uhr
Hallo,

ich würde mal davon ausgehen, dass das irgendetwas "legitimes" ist (ne Software, die du mal vergessen hast, und die ein zusätzliches virtuelles Interface öffnet, oder irgendein vergessenes Gerät), das halt in's Netz will.
Wenn du dir auf einem Rechner eine IP aus dem Netz zuweist, müsstest du es doch auch pingen können. Und wenn du dann die angeschlossenen Systeme ab- und einzeln wieder anklemmst müsstest du auch das System finden können.

Gruß

Filipp

Edit: Natürlich kann es auch sein, dass dir die NAS einfach quatsch erzählt
Bitte warten ..
Mitglied: Re-Animator
04.07.2012 um 15:24 Uhr
Um diesen Thread zu beenden, na da hatte sich eine Maleware eingeschlichen und das mit allen Folgen.

inclusive arp spoofing am Switch!!!

Ich hoffe alles beseitigt zu haben aber wer weiß das schon !!!!


Danke an alle für die Tipps

Gruß Re-Ani
Bitte warten ..
Ähnliche Inhalte
Router & Routing
IP-Subnetze und IP-Adresse
gelöst Frage von lixus99Router & Routing2 Kommentare

Moin, ich habe das Netz aus dem Bild. Wenn man von C aus die kürzesten Wege zu den 5 ...

Windows Server

IP-Subnetz ändern in einem Windows Netzwerk mit SBS2008

Frage von coltseaversWindows Server20 Kommentare

Hallo zusammen, kann ich in einem Windows-Netzwerk mit einem SBS 2008 (=DHCP-Server und DNS), recht unkompliziert das IP-Netz im ...

LAN, WAN, Wireless

Unbekannte LAN-IP im Netz

Frage von ZappBrannigenLAN, WAN, Wireless9 Kommentare

Hi, kein direktes Problem, aber über einen Fakt, den ich mir nicht sicher erklären kann möchte ich gern mit ...

Sicherheits-Tools

IP oder Subnetz Scanner

Frage von joergSicherheits-Tools8 Kommentare

Hallo zusammen, wir verwlten hier eine vielzahl von Standorten die untereinander vernetzt sind und wir wollen in zukunft wissen ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 4 StundenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO iLO ist gefährdet Copyright © und alle Rechte liegen ...

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 13 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing18 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...