רוטר - האנטיוירוס מזהה ARP Cache Poisoning Attack שוב ושוב

האשכול	מחבר	תאריך כתיבה	מספר
באיזה רשת אתה גולש?	Specter	23.04.14 18:18	1
בבית רשת אלחוטית.	JustBla	23.04.14 18:21	2
מכתב	Specter	23.04.14 18:40	3
אני רואה רק מחשבים (שאמורים להיות) יש כלי יותר מתקדם לבדוק את כל המכשירים?	JustBla	23.04.14 19:53	4
מי שמריץ מתקפה כזו יכול לנטר את כל המידע שעובר מהמחשב שלך החוצה	Bar	23.04.14 20:31	5
הורדתי Who is on my wifi	JustBla	23.04.14 20:44	6
טוב עשיתי אלימינציה ניתקתי מכשיר מכשיר.	JustBla	23.04.14 21:04	7
אם זה משהו שהתחיל לא מזמן אז זה באמת מחשיד מאוד	Bar	23.04.14 21:39	8
יש לך המלצות מה אוכל לעשות כדי לנטר שיותר יעילות תנועה חשודה?	JustBla	23.04.14 22:40	9
הייתי משנה סיסמא לממשק ניהול של הראוטר, סיסמה לWIFI וסיסמה אצל הספק.	yonigrin	24.04.14 00:28	10
שיניתי, תודה!	JustBla	25.04.14 11:54	13
מכתב	yoavz	25.04.14 10:40	11
יש דרך ודאית לבדוק?	JustBla	25.04.14 11:53	12
דרך הממשק של הראוטר הייתי בודק מי מחובר לרשת.	yoavz	25.04.14 15:47	14
אוקיי, תודה.	JustBla	25.04.14 16:21	15
יש לי שאלה,	sedate1	26.04.14 17:14	16
כן, למה?	JustBla	27.04.14 10:42	17
לדעתי הוא שאל כי טבלת ARP ש''נתקעה'' בזכרון יכולה ליצר את ההודעות האלו	yonigrin	27.04.14 22:55	18
אני מקווה שלא חזר לך אבל ..	code_blue	29.04.14 22:38	19
לא חזר נכון לעכשיו... תודה על התגובה המפורטת!	JustBla	30.04.14 12:28	20

Specter
חבר מתאריך 1.8.02
20205 הודעות

18:18 23.04.14

1. באיזה רשת אתה גולש?
בתגובה להודעה מספר 0

אם זה בבית תבדוק אם יש התקן שאתה לא מכיר שמחובר לרשת שלך

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

18:21 23.04.14

2. בבית רשת אלחוטית.
בתגובה להודעה מספר 1

נתב d-link DSL-6740U
איך אני בודק את ההתקנים שמחוברים?
האייפי ה"תוקף" אכן נראה כמו אייפי של הרשת.
תודה על התגובה.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Specter
חבר מתאריך 1.8.02
20205 הודעות

18:40 23.04.14

3. מכתב
בתגובה להודעה מספר 2

חפש station list או משהו בסגנון
חפש תחת התחום של ה wireless יותר הגיוני שאם תיהיה תקיפה זה יהיה מישהו פרץ לך ל wifi ומריץ עכשיו איזה man in the middle attack

נשלח ע"י הסלולרי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

19:53 23.04.14

4. אני רואה רק מחשבים (שאמורים להיות) יש כלי יותר מתקדם לבדוק את כל המכשירים?
בתגובה להודעה מספר 3

כל מה שמחובר סלולריים וכו'
ומה זה אומר אם מישהו מריץ מתקפה כזאת?
יש לו גישה לקבצים ולמחשב או רק נתונים שעוברים בראוטר?

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Bar

חבר מתאריך 24.3.02
24213 הודעות, 7 פידבק, 14 נקודות

20:31 23.04.14

5. מי שמריץ מתקפה כזו יכול לנטר את כל המידע שעובר מהמחשב שלך החוצה
בתגובה להודעה מספר 4

הוא בעצם מנתב את כל התעבורה דרכו ככה שכל המידע שלך מופיע אצלו.

לפי השורה שהעתקת, האייפי של התוקף צריך להיות או 10.0.0.4 או 10.0.0.5 .
אם מדובר במכשירים שאתה מכיר, יכול להיות שה-ESET סתם מתריע.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

20:44 23.04.14

6. הורדתי Who is on my wifi
בתגובה להודעה מספר 5

זה מראה לי שני מחשבים ושני סלולריים שאמורים להיות.
מראה לי ב - 10.0.0.138 מכשיר של D-link שאני משער שזה המודם
זה אמור להראות אותו נכון?
עכשיו שני מכשירים שאני לא מזהה בודאות, אחד מיוצר ע"י Pace plc
והשני קשור לכבלים. יש לי מכשיר של יס מחובר למודם זה כנראה אחד
מהם לא? או שניהם?

אני מנסה להבין אם זו התרעת שווא או לא.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

21:04 23.04.14

7. טוב עשיתי אלימינציה ניתקתי מכשיר מכשיר.
בתגובה להודעה מספר 6

כולם מכשירים מתוך הבית שלי.
רק הD-link אין לי איך לבדוק אבל זה צריך להיות
הראוטר עצמו לא?
בכל מקרה הIP ה"חשוד" כבר לא מופיע אני אשאר עירני.
מוזר, לפי הלוג של הפיירוול זה התחיל לפני 4 ימים, כמה פעמים
ביום.

תודה על העזרה לשניכם!

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Bar

חבר מתאריך 24.3.02
24213 הודעות, 7 פידבק, 14 נקודות

21:39 23.04.14

8. אם זה משהו שהתחיל לא מזמן אז זה באמת מחשיד מאוד
בתגובה להודעה מספר 7

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

22:40 23.04.14

9. יש לך המלצות מה אוכל לעשות כדי לנטר שיותר יעילות תנועה חשודה?
בתגובה להודעה מספר 8

מלבד Eset smart security שמספק לי אנטי-וירוס
ופיירוול. יש כלים שחופרים יותר לעומק? לגלות סיכונים
נוספים או תנועה חשודה ברשת/מחשב שלי?

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yonigrin

חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק, 36 נקודות

00:28 24.04.14

10. הייתי משנה סיסמא לממשק ניהול של הראוטר, סיסמה לWIFI וסיסמה אצל הספק.
בתגובה להודעה מספר 0

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

11:54 25.04.14

13. שיניתי, תודה!
בתגובה להודעה מספר 10

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yoavz
חבר מתאריך 12.9.13
415 הודעות, דרג אמינות חבר זה

10:40 25.04.14

11. מכתב
בתגובה להודעה מספר 0

אצלי ברשת זה גם הופיע ובסוף זה היה בגלל שמחשב כלשהו קיבל את הIP שבדרך כלל המדפסת לוקחת (IP סטטי) והיתה התנגשות כלשהי.

מציע לבדוק את זה לפני

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

11:53 25.04.14

12. יש דרך ודאית לבדוק?
בתגובה להודעה מספר 11

אני בור ועם הארץ בכל הנוגע לרשתות. בעקרון ההתרעות הפסיקו
מעצמן ככה שעדיין לא יצא לי לראות מה מחובר לצד ה"תוקף".
התקנתי תוכנה שמראה איזה מכשיר מחובר לכל פורט של הראוטר.
בינתיים אין משהו חשוד...

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yoavz
חבר מתאריך 12.9.13
415 הודעות, דרג אמינות חבר זה

15:47 25.04.14

14. דרך הממשק של הראוטר הייתי בודק מי מחובר לרשת.
בתגובה להודעה מספר 12

ואם יש לך איזה חבר שקצת מבין ברשתות תבקש ממנו שיריץ WireShark.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

16:21 25.04.14

15. אוקיי, תודה.
בתגובה להודעה מספר 14

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

sedate1

חבר מתאריך 15.9.13
4422 הודעות, 4 פידבק, 6 נקודות

17:14 26.04.14

16. יש לי שאלה,
בתגובה להודעה מספר 15

אחרי שקיבלת את ההודעות, ביצעת ריסטרט לנתב?

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

10:42 27.04.14

17. כן, למה?
בתגובה להודעה מספר 16

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yonigrin

חבר מתאריך 13.10.07
4032 הודעות, 21 פידבק, 36 נקודות

22:55 27.04.14

18. לדעתי הוא שאל כי טבלת ARP ש''נתקעה'' בזכרון יכולה ליצר את ההודעות האלו
בתגובה להודעה מספר 17

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

code_blue

חבר מתאריך 5.7.06
21680 הודעות, 7 פידבק, 14 נקודות

22:38 29.04.14

19. אני מקווה שלא חזר לך אבל ..
בתגובה להודעה מספר 0

אם חזר
מה שתוכל לבדוק
במחשב שלך כמס ל CMD ואז תריץ arp -a
תצליב את האיי פי שקיבלת באזעקה
ככה במשך כמה דק' מרגע הופעת האזעקה
תשמור את הפלטים ותעלה לפה .
בהרמת הפקודה אתה מראה את טבלת ה ARP (טבלה שמקשרת בין IP ל MAC )
ה MAC הוא לשליחת המידע בתוך הרשת ואילו ה IP הוא לשליחה החוצה מן הרשת
הקישור הזה בין IP ל MAC מאפשר בעצם העברת מידע שהרי תמיד היעד הוא ב IP (באפליקציה )
אתה יכול לראות לאותה כתובת האם בכל הרצה אתה רואה MAC שונה
אז זה אומר שמכונה אחרת "מתחזה" לכתובת הIP (שכן היא ייחודית)
בגדול אין ממש דרך לדעת מי זאת המכונה הזו גם אם מצאת את ה MAC
אך אולי ידי חיפושה באינטרנט תוכל לדעת מה סוג המכונה (תחילת ה MAC הוא מספר ייחודי של היצרן) ואולי תזהה מכונה כלשהי בתוך הרשת הפנימית שלך
במסיבה כלשהי מקבלת את אותה כתובת IP כמו התחנה שלך
זה יכול לנבוע מהגדרת כתובת סטטית באותה מכונה שזהה לאיי פי של המחשב שלך קיבל או כמובן מכלי פריצה כלשהו שמדמה כרטיס וירטואלי ומסניף את המידע (תבדוק שלא נוסף לך איזה כרטיס רשת במחשב שאתה לא מכיר )

בהצלחה

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

JustBla
חבר מתאריך 11.6.13
520 הודעות, דרג אמינות חבר זה

12:28 30.04.14

20. לא חזר נכון לעכשיו... תודה על התגובה המפורטת!
בתגובה להודעה מספר 19

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד