Unbekanntes Gerät spamt DHCP Server

[Peleke]

In meinem Heimnetzwerk verursacht ein mir unbekanntes Gerät alle paar Sekunden/Minuten für neue DHCP-Einträge, was dann "echte" Geräte daran hindert, noch eine IP zu bekommen.
Das Muster sieht immer so aus:

PC-00-08-22-00-7A-6C
00:08:22:00:7A:6C

PC-00-08-22-1E-44-70
00:08:22:1E:44:70

PC-00-08-22-02-AD-69
00:08:22:02:AD:69

PC-00-08-22-7A-B3-6D
00:08:22:7A:B3:6D

PC-00-08-22-98-0B-6B
00:08:22:98:0B:6B

PC-00-08-22-DE-EE-6E
00:08:22E:EE:6E

PC-00-08-22-E8-13-68
00:08:22:E8:13:68

Da das verursachende Gerät nie lange genug am Stück verbunden bleibt, um mehr darüber zu erfahren, fällt es mir schwer dieses zu lokalisieren. Was könnte ich tun, außer das WLAN-Passwort zu ändern (was zu einem ziemlichen Zeitaufwand für alle anderen Geräte führen würde)?
Ich verwende eine FritzBox 7590 mit drei Repeatern.

 

[Ulrich_Lars]

Unter Wlan Sicherheit bei WLAN-Zugang auf die bekannten WLAN-Geräte beschränken den haken setzen, damit sollte sich das Gerät dann nicht mehr verbinden können. Dann kann man auch sehen welches Gerät es ist, da es ja dann offline ist.

 

[Shio]

Neue WLAN Geräte in der Fritte blockieren und die alten Einträge löschen.
Dann einfach mal warten und schauen was nicht mehr funktioniert

 

[K-551]

Kenn ich.
Warscheinlich ein Gerät mit dynamischer MAC-Adressen-Vergabe.
Oftmals Android. Da mal recherchieren und ggf. feste MAC aktivieren.

 

[Peleke]

Danke, kannte ich noch nicht und habe ich gleich mal gemacht. Dann mal warten/schauen.

 

[Lawnmower]

Da "PC-00-08-22-" immer identisch ist und dies gemässs KI einer Firma "InPro Comm" gehört (die von MediaTek gekauft wurde) könnte fast alles möglich sein (alles ausser Apple ).
Allenfalls mal die Repeater stromlos machen und dann gucken ob es weiterhin auftritt - falls nicht hast den Empfang des Störenfrieds unterbrochen. Danach einzeln die Repeater wieder dazunehmen und gucken in welchem Umfeld es wieder beginnt - allenfalls kannst Du es so grob lokalisieren.
Tippe mal auf irgendein Smarthome Gerät das vielleicht Probleme mit dem WLAN Empfang hat und sich dauerend neu verbinden tut im Zusammenhang mit dynamischer MAC Adresse.

 

[BFF]

Mac Vendor ist "InPro Comm".

Das sieht fuer mich nicht nach Geraeten (Telefonen / Tabletts) mit iOS aus.

Schau mal durch @Peleke
Vielleicht ist ein Ansatz dabei welches Geraet bei Dir nervt.

https://www.softperfect.com/board/read.php?18,25068

 

[OSx86]

https://en.wikipedia.org/wiki/Inprocomm

https://maclookup.app/search/result?mac=00:08:22:00:7A:6C

 

[Sebbi]

In meinem Heimnetzwerk verursacht ein mir unbekanntes Gerät alle paar Sekunden/Minuten für neue DHCP-Einträge, was dann "echte" Geräte daran hindert, noch eine IP zu bekommen.

könnte idR ein ioT , Android oder ein Windows11 Gerät sein, auf denen wird Random Macs für neu erkannte Wlans automatisch aktiviert.

 

[Ja_Ge]

Nacheinander die Geräte aus dem LAN nehmen und schauen wann es weg ist.

 

[norKoeri]

Hast Du bereits einen Paketmitschnitt probiert, also mal einen Tag lang mitlaufen lassen? fritz.box → Hilfe und Info → FRITZ!Box Support → Paketmitschnitt → 1. Internetverbindung. Wenn das irgendwie zu kompliziert, könntest Du auch einen (konfigurierbaren Switch) nach der FRITZ!Box setzen, das WLAN auf der FRITZ!Box abschalten und dann mittels Port-Mirroring mitschneiden. Oder sind die Repeater ver-WLAN-t?

FRITZ!Box 7590

DSL oder Glasfaser?

Wie lauten die ersten vier Stellen der Seriennummer Deiner FRITZ!Box 7590 (ohne AX)? Könnte nämlich sein, dass die durch ist … dann entstehen die wildesten Fehler auch dass sich ein Gerät vielleicht laufend vergeblich versucht ins WLAN einzubuchen und weil das so seltsam abbricht, dann eine andere IP-Adresse versucht.

 

[Sebbi]

Hast Du bereits einen Paketmitschnitt probiert, also mal einen Tag lang mitlaufen lassen?

und das bringt exakt was ? das siehst du auch nur das das gerät sich anmeldet und netzwerktraffic verursacht. Du bekommst aber darüber nicht raus woher das kommt oder wie das heißt. Wenn ein Hostname mitgeschickt werden würde, würde das die FB auch in der Übersicht anzeigen. Das machen aber Geräte mit den anonymisierten MACs nicht.

Was könnte ich tun, außer das WLAN-Passwort zu ändern (was zu einem ziemlichen Zeitaufwand für alle anderen Geräte führen würde)?

MAC Filter im WLAN einrichten, so das sich nur noch bekannte MAC Adressen anmelden könnten

Wenn irgendwo eingerichtete VPN Clients sind, diese deaktivieren, Virtuelle Maschinen beenden

 

[norKoeri]

Anhand des Paketmitschnitts kann man sehen, ob überhaupt Daten ausgetauscht werden. Vielleicht schlägt bereits die DHCP-Aushandlung fehl. Falls Daten ausgetauscht werden, kann man anhand der DNS-Abfragen vielleicht erraten was für eine Geräte-Klasse es überhaupt ist. Also genau das was der Thread-Ersteller will, mehr über das Gerät erfahren.

 

[Sebbi]

Vielleicht schlägt bereits die DHCP-Aushandlung fehl

wenn die DHCP Aushandlung fehl schlägt, würde das gerät nicht in der Box hinterlegt werden und eine IP blockieren.

Falls Daten ausgetauscht werden, kann man anhand der DNS-Abfragen vielleicht erraten was für eine Geräte-Klasse es überhaupt ist. Also genau das was der Thread-Ersteller will, mehr über das Gerät erfahren.

dazu alleine müsste der TE aber schon wissen, wie und wonach er suchen muss, das auszuwerten etc etc ... auch wenn ich dem TE jetzt hier unrecht tu, aber wenn hier so eine Frage in dem Sinne gestellt wird, glaube ich nicht das der TE in der Lage wäre, jetzt so eine tiefgreifende Auswertung durchzuführen.

Und von einen hochladen für Fremdauswertung des solchen Logs würde ich mit Nachdruck abraten, da man SEHR viel aus dem Daten ablesen könnte.

 

[Tanzmusikus]

Ich vermute, ein Gerät (z.B. Smartphone) mit randomisierter MAC wird im Heimnetz verwendet.
Dies ließe sich leicht überprüfen, wenn man (Hardware-)Zugriff auf alle Geräte hat.
@Peleke Ist dies der Fall, dann bitte mal überprüfen.

 

[norKoeri]

wenn die DHCP Aushandlung fehl schlägt, würde das gerät nicht in der Box hinterlegt werden und eine IP blockieren.

Mhm. Genau den Fall habe ich hier. Das Endgerät ist nicht glücklich, verwirft die erhaltene Lease und räubert haufenweise IP-Adressen weg, weil es weitere Leases anfordert. In meinem Fall ist das Gerät dann doch irgendwann glücklich (oder FRITZ!OS macht was anders und ich habe das noch nicht erkannt).

tiefgreifende Auswertung

Du filterst in Wireshark nach dhcp. So erhältst Du die IP-Adresse. Mit der filterst Du erneut (über Rechtsklick). Findet Datenverkehr statt … dürfte ein guter und vielleicht sogar zielführender Start sein.

 

[Peleke]

Danke für die vielen hilfreichen Beiträge. Ich habe jetzt fürs Erste den Tipp verfolgt mit dem aktivierten Filter nur für bekannte Geräte und soweit keine Beeinträchtigungen im Haus erlebt.
Auch scheint meine FritzBox zu den möglicherweise betroffenen Geräten zu gehören, die @norKoeri erwähnt, da die Seriennummer mit K424 anfängt. Beim WLAN gibt es aber keine Probleme, obwohl sie schon seit sechs Jahren läuft.
Werde das mal weiter beobachten.

 

[norKoeri]

Seriennummer mit K424

Dann wirklich parallel auch Ausschau nach einer gebrauchten FRITZ!Box 7520 halten, denn auf kurz oder lang wird jene FRITZ!Box kaputt gehen. Müsste sich zuerst mit einem schwankendem 2,4-GHz-WLAN zeigen. Verzögern kannst Du das nur, indem Du Neustarts vermeidest, also nur bei Security-Updates mitmachst. Irgendwann summt bzw. zirpt die Box dann.