Mein Huawei Smartphone scheint Arp Spoofing zu betreiben, was jetzt?

RusselTeapot

Newbie
Registriert
Apr. 2017
Beiträge
4
Hallo zusammen,

nachdem mein ESET Virenschutz mich schoneinmal vor längerer Zeit gewarnt hatte das mein Handy wegen ARP Spoofing gesperrt wurde, hatte ich in deren Support gelesen, dass so was als Fehlmeldung vorkommen kann und gedacht es sei damit getan. Allerdings fiel mir heute mittag beim durchschauen meiner Netzwerkgeräte im ESET Client auf, dass der Router angeblich von Huawei produizert wurde... Das hat mich dann doch stutzig gemacht und ich habe das mal im wireshark überprüft.
leider sieht das doch ziemlich nach arp spoofing aus. Was kann ich tun? alle auch nur annähernd fragwürdigen apps sind von meinem Smartphone deinstalliert und wenn ich im Terminal Emulator nachschaue, laufen auch nur Whatsapp, Deezer und die üblichen huawei und Androidprozesse. ich weiß wirklich nicht mehr was ich noch tuen kann. Hat hier jemand eine Idee?

Hier das wireshark Protokoll (192.168.2.121 ist die interne IP des Smartphones und ja, die Benachrichtigung unten rechts ist leicht unprofessionell aber das ist mir gerade egal): Screenshot at 2017-04-20 19:19:10.png
 
Zuletzt bearbeitet:
Hm, warum sollte dann mein Huawei Gerät sich als Router ausgeben, was es offensichtlich tut? Die Verbindung die ich unten habe sieht ja auch sehr komisch aus, als würde die Arp request Des Handys dann über sich selbst umgeleitet werden. Aber ich lasse mir natürlich sehr gerne einen Irrtum aufzeigen. Wie könnte ich die IP-Konfliktthese verifizieren? Statisch ist eigentlich nichts von beidem.
 
Guck nach deinen Netzwerkgeräten und schau, welches von denen die andere MAC Adresse hat und welche IP da eingestellt ist. Wenn das Gerät die IP 121 auch hat, dann hast du ein Netzwerkgerätekonflikt.

Nur ein "Who has X, tell Y" ist noch lange kein Router (und kein ARP Spoofing).

Die entscheidende Frage ist: Warum meint dein Huawei, dass es notwendig ist, nach Geräten im Netzwerk zu scannen (auf ARP Basis)?
 
Habe nur gehört dass der Konflikt den Wireshark da wahrnimmt (duplicate use of ip ...) Typisch für Spoofing ist. Dazu kommt die Diagnose von ESET und der Umstand dass die dort aufgeführte Mac leider ein Laptop ist, den ich erst nach dem ersten Mal Wireshark eingeschaltet hat, das heißt, das kann wohl nicht der Grund sein. Und wieso sollte (ich habe den Fall ja ausgewählt) das Gerät sonst an sich selbst ne Arp-Anfrage senden?
 
Zuletzt bearbeitet:
Habe nur gehört dass der Konflikt den Wireshark da wahrnimmt (duplicate use of ip ...) Typisch für Spoofing ist.
Ja, das kann spoofing sein, aber dann würde das Pattern wohl etwas anders aussehen (vom Timing her).
, fern ich erst nach dem ersten Mal Wireshark eingeschaltet hat
Fehlt da ein Wort/Satzbestandteil? Wenn der Laptop nicht mehr am Netz ist, dann kann es sein, dass in der ARP-Cache die alte IP noch gespeichert ist, dein Handy die aber neu zugeteilt bekommen hat und dann Wireshark etwas verwundert ist, da normalerweise IP's nicht so schnell neu vergeben werden (im Heimnetz).
Und wieso sollte (ich habe den Fall ja ausgewählt) das Gerät sonst an sich selbst ne Arp-Anfrage senden?
Ich seh in dem Auszug keine Anfrage von einer 121 an sich selbst.

Warum das Handy die ARP-Requests sendet, kann ich nicht sagen. Allerdings gibt's ja auch für Handys Malware, wenn du es austesten willst, kann da ein Factory Reset helfen. (Aber warum sollte Malware ARP-Requests senden?)
 
Das klingt beruhigend! Natürlich sendet die 121 nicht an sich selbst, aber der Router (2.1), dessen Mac-Adresse komischerweise mit der auf meinem Handy angezeigten identisch ist (und der behauptet von Huawei zu sein, was in unserem Netzwerk nur mein Handy ist) sendet an die 121, die auf jeden Fall auch mein Handy ist. Das deutet für mich daraufhin, dass mein Handy als Man in the Middle den Router imitiert, oder woher kommt sonst diese komische Übereinstimmung?
 
Dein Router hat die selbe MAC Adresse wie dein Handy?

Das sollte nicht vorkommen. Sind die MAC-Adressen vom Handy und vom Router, so wie sie im Netzwerk gesendet werden identisch zu dem, was den Geräten vom Hersteller zugeordnet wurde? Auf der Handyschachtel steht oft die MAC drauf, ebenso auf dem Router oder der Schachtel des Router, schau mal nach, welchem Gerät welche MAC denn eigentlich gehört. (Huawei stellt auch Router her, die z.B. von Vodafone verkauft werden.)

So wie für mich das aussieht, imitiert eher der Router dein Handy (MAC-Technisch) als dein Handy dein Router.

Schau welches Gerät die falsche MAC/falsche IP verwendet und du bist der Lösung ein Stück näher.
 
Zurück
Oben