ramos_berlin
Newbie
- Registriert
- Juni 2008
- Beiträge
- 1
hallo,
ich sitz hier seit einiger zeit vor einem rätsel:
in meinem netzwerk befindet sich ein 2003-server mit 2 netzwerkkarten von intel
(mac 00:15:xx:xx:xx:90 und 00:15:xx:xx:xx:91,
die fest auf die IP 192.x.x.240 und 192.x.x.241 geroutet sind).
außerdem gibt es noch ein paar rechner, die ich alle persönlich kenne.
und ein DSL-Router, der auch eine feste IP hat.
dieser DSL-router zeigte nun (plötzlich oder nich, jedenfalls ist es mir aufgefallen)
zwei neue geräte an, und zwar waren die mit der mac-adresse 00:15:xx:xx:xx:92 und 00:15:xx:xx:xx:93 angegeben, und haben sich je eine freie IP gesucht (der dsl-router fungiert auch als DHCP-Server; die IP ist immer wieder die selbe, auch wenn ich sie aus der DHCP-übersicht rauslösche - und: das sind übrigens, um der frage vorzubeugen, keine WLAN-geräte! das WLAN ist dicht.)
also nochmal in kurz: diese beiden mac-adressen gibt es physikalisch nicht - trotzdem holt sich damit jemand jeweils eine neue IP.
und besonders lustig: ich kann diese IP-adressen über windows per PING erreichen!
die antwort kommt, manchmal um ein paar sekunden verzögert (so als ob das teil geschlafen hätte und erst per ping aufwacht...) - aber die antwort kommt ohne paketverlust.
meine versuche, per Nmap rauszufinden, was das denn wohl ist, das da auch der IP sitzt, sind gescheitert: Nmap kann die IPs nämlich nicht anpingen. ...<grübel>
wenn ich per WireShark dem netzwerkverkehr lausche, der da auf die beiden IPs geht, kommen immer nur, alle 5 sekunden, anfragen namens "gratuitous ARP".
(das heißt also, die aliens geben bescheid, dass sie da sind ... )
allerdings kommt nie eine antwort....
so, nun die spannende frage: hat irgendwer irgendeine ahnung, was da im detail los sein könnte?
rootkit-detection und suche nach einem trojaner verlief bisher ergebnislos...
ich grübel schon den ganzen tag.
vielen dank
ramos
ich sitz hier seit einiger zeit vor einem rätsel:
in meinem netzwerk befindet sich ein 2003-server mit 2 netzwerkkarten von intel
(mac 00:15:xx:xx:xx:90 und 00:15:xx:xx:xx:91,
die fest auf die IP 192.x.x.240 und 192.x.x.241 geroutet sind).
außerdem gibt es noch ein paar rechner, die ich alle persönlich kenne.
und ein DSL-Router, der auch eine feste IP hat.
dieser DSL-router zeigte nun (plötzlich oder nich, jedenfalls ist es mir aufgefallen)
zwei neue geräte an, und zwar waren die mit der mac-adresse 00:15:xx:xx:xx:92 und 00:15:xx:xx:xx:93 angegeben, und haben sich je eine freie IP gesucht (der dsl-router fungiert auch als DHCP-Server; die IP ist immer wieder die selbe, auch wenn ich sie aus der DHCP-übersicht rauslösche - und: das sind übrigens, um der frage vorzubeugen, keine WLAN-geräte! das WLAN ist dicht.)
also nochmal in kurz: diese beiden mac-adressen gibt es physikalisch nicht - trotzdem holt sich damit jemand jeweils eine neue IP.
und besonders lustig: ich kann diese IP-adressen über windows per PING erreichen!
die antwort kommt, manchmal um ein paar sekunden verzögert (so als ob das teil geschlafen hätte und erst per ping aufwacht...) - aber die antwort kommt ohne paketverlust.
meine versuche, per Nmap rauszufinden, was das denn wohl ist, das da auch der IP sitzt, sind gescheitert: Nmap kann die IPs nämlich nicht anpingen. ...<grübel>
wenn ich per WireShark dem netzwerkverkehr lausche, der da auf die beiden IPs geht, kommen immer nur, alle 5 sekunden, anfragen namens "gratuitous ARP".
(das heißt also, die aliens geben bescheid, dass sie da sind ... )
allerdings kommt nie eine antwort....
so, nun die spannende frage: hat irgendwer irgendeine ahnung, was da im detail los sein könnte?
rootkit-detection und suche nach einem trojaner verlief bisher ergebnislos...
ich grübel schon den ganzen tag.
vielen dank
ramos
Zuletzt bearbeitet:
