|
k99
Anmeldungsdatum:
23. September 2020
Beiträge: 14
|
Hallo zusammen,
nachdem manche WLAN Geräte (laut Device Tracker von Homeassistant) regelmäßig raus fliegen habe ich als erstes in der Fritz Box die WLAN Statistik angeschaut. Die Auslastung geht dort immer mal wieder für ein paar Sekunden auf 100%, das wird wohl der Grund sein. Also habe ich einen alten Laptop und einen Belkin USB WLAN Stick ausgebuddelt mit dem ich Wireshark im Monitor Modus betreiben kann.
Jetzt zeigt mir Wireshark als Haupt Traffic Dings im WLAN eine Mac Adresse (00:1e:06:43:dc:23), die eigentlich zum Homeassistant LAN Anschluss gehört. Das irritiert mich natürlich ganz arg. Kann das ein Hack sein und zeigt vielleicht die Fritte ein zweites Gerät mit gleicher Mac nicht an, auch wenn es über WLAN statt LAN angeschlossen ist (wäre natürlich Hilfreich für einen Hack)? Über aufgelöste Adressen zeigt mir Wireshark Wibrain_43:dc:23 an. Da gehen erst mal alle Alarmglocken an (die eh schon vibrieren wie irre) aber andererseits wird dieser Name wohl "nur" über die MAC "vermutet" oder? Hat jemand eine Idee, wie ich das in der Fritzbox genauer untersuchen kann? Homeassistant läuft auf einem N3. Da die Mac zu ändern ist vermutlich nicht ohne und wirft mir vermutlich einiges durcheinander... Hat jemand Ideen, dass zu untersuchen? Danke im vorraus für jeden Tipp 😉
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 9837
|
k99 schrieb: […] Jetzt zeigt mir Wireshark als Haupt Traffic Dings im WLAN eine Mac Adresse (00:1e:06:43:dc:23), die eigentlich zum Homeassistant LAN Anschluss gehört.
Und? Was soll daran verwerflich sein? Schalte den Homeassistant aus und prüfe, ob der Verkehr verschwindet. Wenn dem so ist, hast Du Paranoia und solltest das alles am besten vergessen und Urlaub machen. Falls Du wider Erwarten doch ein reales Problem haben solltest, hat es jedenfalls nichts mit Ubuntu zu tun.
|
|
k99
(Themenstarter)
Anmeldungsdatum:
23. September 2020
Beiträge: 14
|
Und? Was soll daran verwerflich sein?
Naja WLAN und LAN sind ja nun eigentlich zwei getrennte Übertragungswege, eine LAN Verbindung sollte im WLAN Traffic eigentlich nicht auftauchen oder? Trotzdem habe ich nun den Homeassistant runter gefahren und der Traffic geht weiter. Richtig, mit Ubuntu hat das tatsächlich in dem Fall nicht mehr viel zu tun, ich wüsste nur nicht, wo ich sonst noch Leute finde, die dazu vielleicht eine Idee haben 😉
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 9837
|
k99 schrieb: […] Trotzdem habe ich nun den Homeassistant runter gefahren und der Traffic geht weiter.
Wenn Du Dein Gerät mit der fraglichen MAC ausgeschaltet hast, kommt verbleibender Verkehr nicht von Deinem Gerät.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
k99 schrieb: Also habe ich einen alten Laptop und einen Belkin USB WLAN Stick ausgebuddelt mit dem ich Wireshark im Monitor Modus betreiben kann.
Jetzt zeigt mir Wireshark als Haupt Traffic Dings im WLAN eine Mac Adresse (00:1e:06:43:dc:23), die eigentlich zum Homeassistant LAN Anschluss gehört.
Poste mal mit und ohne Homeassistent, von deinem alten Laptop (mit dem USB WLAN Stick) die Ausgaben von:
ip n s
und
sudo arp-scan -I <Interface> -l
(Interface anpassen und ohne spitze Klammern) oder gleichwertig.
|
|
k99
(Themenstarter)
Anmeldungsdatum:
23. September 2020
Beiträge: 14
|
Poste mal mit und ohne Homeassistent, von deinem alten Laptop (mit dem USB WLAN Stick) die Ausgaben von:
ip n s
und
sudo arp-scan -I <Interface> -l
(Interface anpassen und ohne spitze Klammern) oder gleichwertig.
mit 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44 | ip n s
192.168.178.1 dev wlan0 lladdr 0c:72:74:53:a3:76 STALE
2a01:41e3:5051:2100:e72:74ff:fe53:a376 dev wlan0 lladdr 0c:72:74:53:a3:76 router STALE
fe80::e72:74ff:fe53:a376 dev wlan0 lladdr 0c:72:74:53:a3:76 router REACHABLE
fd35:93b6:601f:0:e72:74ff:fe53:a376 dev wlan0 FAILED
sudo arp-scan -I wlan0 -l
Interface: wlan0, type: EN10MB, MAC: 00:1a:13:6b:6d:47, IPv4: 192.168.178.72
Starting arp-scan 1.9.7 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.178.1 0c:72:74:53:a3:76 (Unknown)
192.168.178.2 b8:ae:ed:ea:27:e5 Elitegroup Computer Systems Co.,Ltd.
192.168.178.32 14:c9:13:b4:ce:93 LG Electronics
192.168.178.42 dc:a6:32:9f:0f:73 Raspberry Pi Trading Ltd
192.168.178.80 00:1e:06:43:dc:23 WIBRAIN
192.168.178.25 a4:cf:12:f4:d7:b8 Espressif Inc.
192.168.178.26 60:01:94:8d:ca:43 Espressif Inc.
192.168.178.43 98:b6:e9:b6:d4:1e Nintendo Co.,Ltd
192.168.178.28 cc:50:e3:78:ce:6c Espressif Inc.
192.168.178.44 4e:4d:61:27:25:ac (Unknown: locally administered)
192.168.178.30 34:20:03:b0:94:24 Shenzhen Feitengyun Technology Co.,LTD
192.168.178.31 80:64:6f:83:b6:7d (Unknown)
192.168.178.34 7c:0a:3f:7c:66:0c (Unknown)
192.168.178.59 7c:61:66:ba:be:ef Amazon Technologies Inc.
192.168.178.38 b0:4e:26:54:3b:2d TP-LINK TECHNOLOGIES CO.,LTD.
192.168.178.52 b0:4e:26:54:2b:71 TP-LINK TECHNOLOGIES CO.,LTD.
192.168.178.36 ea:18:6b:9f:ad:80 (Unknown: locally administered)
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation
192.168.178.37 d2:46:18:ae:af:b7 (Unknown: locally administered)
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation (DUP: 2)
192.168.178.203 0c:72:74:53:a3:76 (Unknown)
192.168.178.205 0c:72:74:53:a3:76 (Unknown)
192.168.178.201 0c:72:74:53:a3:76 (Unknown)
192.168.178.202 0c:72:74:53:a3:76 (Unknown)
192.168.178.204 0c:72:74:53:a3:76 (Unknown)
192.168.178.202 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
192.168.178.205 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
192.168.178.203 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
192.168.178.204 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation (DUP: 3)
192.168.178.201 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
31 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9.7: 256 hosts scanned in 2.383 seconds (107.43 hosts/sec). 31 responded
|
und ohne
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39 | ip n s
192.168.178.59 dev wlan0 lladdr 7c:61:66:ba:be:ef STALE
192.168.178.1 dev wlan0 lladdr 0c:72:74:53:a3:76 REACHABLE
2a01:41e3:5051:2100:e72:74ff:fe53:a376 dev wlan0 lladdr 0c:72:74:53:a3:76 router STALE
fe80::e72:74ff:fe53:a376 dev wlan0 lladdr 0c:72:74:53:a3:76 router REACHABLE
fd35:93b6:601f:0:e72:74ff:fe53:a376 dev wlan0 lladdr 0c:72:74:53:a3:76 router REACHABLE
sudo arp-scan -I wlan0 -l
Interface: wlan0, type: EN10MB, MAC: 00:1a:13:6b:6d:47, IPv4: 192.168.178.72
Starting arp-scan 1.9.7 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.178.1 0c:72:74:53:a3:76 (Unknown)
192.168.178.2 b8:ae:ed:ea:27:e5 Elitegroup Computer Systems Co.,Ltd.
192.168.178.32 14:c9:13:b4:ce:93 LG Electronics
192.168.178.42 dc:a6:32:9f:0f:73 Raspberry Pi Trading Ltd
192.168.178.44 4e:4d:61:27:25:ac (Unknown: locally administered)
192.168.178.43 98:b6:e9:b6:d4:1e Nintendo Co.,Ltd
192.168.178.26 60:01:94:8d:ca:43 Espressif Inc.
192.168.178.25 a4:cf:12:f4:d7:b8 Espressif Inc.
192.168.178.36 ea:18:6b:9f:ad:80 (Unknown: locally administered)
192.168.178.31 80:64:6f:83:b6:7d (Unknown)
192.168.178.30 34:20:03:b0:94:24 Shenzhen Feitengyun Technology Co.,LTD
192.168.178.37 d2:46:18:ae:af:b7 (Unknown: locally administered)
192.168.178.34 7c:0a:3f:7c:66:0c (Unknown)
192.168.178.28 cc:50:e3:78:ce:6c Espressif Inc.
192.168.178.80 00:1e:06:43:dc:23 WIBRAIN
192.168.178.59 7c:61:66:ba:be:ef Amazon Technologies Inc.
192.168.178.201 0c:72:74:53:a3:76 (Unknown)
192.168.178.39 ce:05:87:ee:9b:cb (Unknown: locally administered)
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation
192.168.178.202 0c:72:74:53:a3:76 (Unknown)
192.168.178.204 0c:72:74:53:a3:76 (Unknown)
192.168.178.203 0c:72:74:53:a3:76 (Unknown)
192.168.178.205 0c:72:74:53:a3:76 (Unknown)
192.168.178.205 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
192.168.178.203 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
25 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9.7: 256 hosts scanned in 2.346 seconds (109.12 hosts/sec). 25 responded
|
Ich stehe auf dem Schlauch. Es sind weniger Geräte aber das komische wibrain bleibt da, mit der ip und der mac vom homeassistant der gar kein wlan hat. Das ist jetzt übrigends zwar der Rechner mit dem wlan stick aber verbunden über das interne wlan. Mit dem Stick wollte ich den Monitor Mode nutzen, was aber auch zum verrecken nicht klappt: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31 | sudo iwconfig wlxec1a594cdd2f mode monitor
Error for wireless request "Set Mode" (8B06) :
SET failed on device wlxec1a594cdd2f ; Invalid argument.
sudo airmon-ng start wlxec1a594cdd2f
PHY Interface Driver Chipset
phy0 wlan0 rtl8723bs unable to detect for sdio 0x024c:0xb723
null wlxec1a594cdd2f r8712u Belkin Components F7D1101 v1 Basic [Realtek RTL8188SU]
sudo iwconfig
wlan0 IEEE 802.11bgn ESSID:"WLAN-3MW67N" Nickname:"<WIFI@REALTEK>"
Mode:Managed Frequency:2.467 GHz Access Point: 0C:72:74:53:A3:78
Bit Rate:72.2 Mb/s Sensitivity:0/0
Retry:off RTS thr:off Fragment thr:off
Encryption key:****-****-****-****-****-****-****-**** Security mode:open
Power Management:off
Link Quality=79/100 Signal level=90/100 Noise level=0/100
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
wlxec1a594cdd2f unassociated Nickname:"rtl_wifi"
Mode:Managed Access Point: Not-Associated Sensitivity:0/0
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
|
ich weß irgendwie nicht weiter...
|
|
Mylin
Anmeldungsdatum:
23. Juli 2024
Beiträge: 371
|
Du fragst die ARP Zuordnung in deinem LAN ab und wunderst dich, dass du darin einen Eintrag zu einem Gerät findest welches sich in deinem LAN befindet?
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
Mylin schrieb: Du fragst die ARP Zuordnung in deinem LAN ab ...
Nein, der TE macht einen arpscan (wie Ping nur mit dem arp-Protokoll statt icmp) und wundert sich, dass ein Gerät, das lt. seiner Aussage nicht mehr mit der FritzBox verbunden sein soll (bzw. nicht mehr im W/LAN der FritzBox ist), antwortet:
192.168.178.80 00:1e:06:43:dc:23 WIBRAIN
@TE: Evtl. ist es noch indirekt bzw. über Umwege mit der FritzBox verbunden oder es antwortet ein arp-proxy (oder gleichwertig). Versuch mal:
ip r g 192.168.178.80
ping -c 3 192.168.178.80
BTW: Es gibt keine Isolation zwischen den Geräten/Clients im LAN und im WLAN (... beides Heim-Netz) der FritzBox. Du kannst (in der FritzBox) die Kommunikation zwischen der Geräten im WLAN (Heim-Netz) der FritzBox, deaktivieren. Wenn Du z. B. Portweiterleitungen in der FritzBox konfiguriert hast (NAT4) gibt auch zwischen dem Heim-Netz und dem Gast-Netz der FritzBox, keine 100%-ige Isolation.
|
|
k99
(Themenstarter)
Anmeldungsdatum:
23. September 2020
Beiträge: 14
|
Hallo zusammen,
danke erstmal für die Beteilung bisher. Trotzdem mal zurück auf Anfang. Was mich sehr irritiert hat ist im Bild xx44.jpg im Anhang zu sehen. Zur Erläuterung
Das ist leider ein Windows Rechner. Ich habe es auf keinem meiner Ubuntu Rechner mehr geschafft, den Stick in den Monitor Mode zu bekommen, was früher mal ging. Ich habe drei realtek Treiber getestet, die das können sollen und dann aufgegeben. Auf dem Bild ist als Haupt Traffic Verursacher in meinem WLAN eine Mac Adresse zu sehen, die im WLAN nicht sein dürfte. Die gehört bei mir im LAN zu Homeasistant, der läuft auf einem ODROID-N2/N2+ und das Ding hat noch nicht mal WLAN! Der Stick, der da lauscht ist NICHT mit meinem WLAN verbunden, er befindet sich im Monitor Mode und hört nur zu. Wireshark hat nur dieses Device geöffnet, kennt in dem Moment also mein WLAN eigentlich nicht. Die "aufgelösten Adressen beruhen vermutlich auf einer internen Vermutung von Wireshark beruhend auf der Mac aber da bin ich nicht sicher. WIBRAIN könnte also von Wireshark "geraten" sein? Das Gerät kann aus oben genannten gründen nicht mein N2 sein. Der kann nicht funken, Wireshark sieht aber nur Funk. Fraglich bleibt daher weiterhin die identische Mac, kann das wirklich Zufall sein?
Ich habe nun weiter geforscht und mal den gesamten Verkehr nach dieser Mac gefiltert, siehe Bild xx07.jpg
Auffällig hier:
Als Destination taucht nicht einmal meine Fritte auf! Ein Hack ist es also wohl scheinbar nicht und Wireshark stiftet hier vermutlich Verwirrung, weil er Broadcasts im WLAN Verkehr überall einmal einsortiert? Kann ich aber nur vermuten, vielleicht weiß es jemand? Ein bisschen logisch wäre es ja durchaus aber dennoch Panik schürend.
Lange Rede kurzer Sinn:
Scheinbar hat hier "nur" in der Nähe irgendein Nobrain ein Wibrain oder sonstiges Gerät laufen, dass durchdreht und so viele qos Packete sendet, dass vermutlich nicht nur mein WLAN darunter leidet. Die identische Mac bleibt dennoch sehr merkwürdig und verursacht vermutlich weitere Störungen. * Kann das jemand sagen: Kommt meine Fitzbox aus dem Tritt, weil Sie erst denkt, oh die Mac kenne ich und nach weiteren Prüfungen dann merkt, da stimmt was nicht? Ich versuche mal das Ding mit Netstumbler oder so ein bisschen zu Orten 😉 Ich schaue mal, ob ich bei einem N2 die Mac ändern kann, da läuft immerhin auch ein kleines linux als Unterbau. Vermutlich bringt mir das im Netzt ein bisschen was durcheinander, auf Dauer hilft es aber vermutlich.
- Bilder
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
k99 schrieb:
Du brauchst kein Netstumbler und kein WIN-PC mit Monitore-Interface und kein Wireshark.
Teste auf einem Linux-PC (oder gleichwertig) an deiner FritzBox, mit und ohne verbundenem Homeassistent:
sudo arp-scan -I wlan0 -l
ip r g 192.168.178.80
ping -c 3 192.168.178.80
Nochmal: Es gibt keine Isolation/Trennung im Heim-Netz der FritzBox, zwischen Lan und Wlan. Das ist ein Subnetz (192.168.178.0/24). Die Geräte in diesem Subnetz können sich immer per arp erreichen/sehen. Z. B.:
:~# arping -c 1 -I eth0 192.168.178.40
ARPING 192.168.178.40 from 192.168.178.4 eth0
Unicast reply from 192.168.178.40 [##:##:##:75:36:60] 3.396ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
|
|
k99
(Themenstarter)
Anmeldungsdatum:
23. September 2020
Beiträge: 14
|
Teste auf einem Linux-PC (oder gleichwertig) an deiner FritzBox, mit und ohne verbundenem Homeassistent:
sudo arp-scan -I wlan0 -l
ip r g 192.168.178.80
ping -c 3 192.168.178.80
hatte ich oben schon mal aber vielleicht fehlte was? Egal, mit Homeassitant:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50 | sudo arp-scan -I wlp2s0 -l
Interface: wlp2s0, type: EN10MB, MAC: 00:21:5c:e6:56:b8, IPv4: 192.168.178.55
Starting arp-scan 1.9.7 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.178.1 0c:72:74:53:a3:76 (Unknown)
192.168.178.41 e0:d5:5e:e7:d3:2d GIGA-BYTE TECHNOLOGY CO.,LTD.
192.168.178.42 dc:a6:32:9f:0f:73 Raspberry Pi Trading Ltd
192.168.178.48 08:00:27:2e:0f:11 PCS Systemtechnik GmbH
192.168.178.39 ce:05:87:ee:9b:cb (Unknown: locally administered)
192.168.178.26 60:01:94:8d:ca:43 Espressif Inc.
192.168.178.36 ea:18:6b:9f:ad:80 (Unknown: locally administered)
192.168.178.54 08:00:27:f5:c4:e6 PCS Systemtechnik GmbH
192.168.178.25 a4:cf:12:f4:d7:b8 Espressif Inc.
192.168.178.28 cc:50:e3:78:ce:6c Espressif Inc.
192.168.178.37 d2:46:18:ae:af:b7 (Unknown: locally administered)
192.168.178.30 34:20:03:b0:94:24 Shenzhen Feitengyun Technology Co.,LTD
192.168.178.80 00:1e:06:43:dc:23 WIBRAIN
192.168.178.31 80:64:6f:83:b6:7d (Unknown)
192.168.178.34 7c:0a:3f:7c:66:0c (Unknown)
192.168.178.52 b0:4e:26:54:2b:71 TP-LINK TECHNOLOGIES CO.,LTD.
192.168.178.43 98:b6:e9:b6:d4:1e Nintendo Co.,Ltd
192.168.178.72 00:1a:13:6b:6d:47 Wanlida Group Co., LTD
192.168.178.59 7c:61:66:ba:be:ef Amazon Technologies Inc.
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation (DUP: 2)
192.168.178.201 0c:72:74:53:a3:76 (Unknown)
192.168.178.202 0c:72:74:53:a3:76 (Unknown)
192.168.178.38 b0:4e:26:54:3b:2d TP-LINK TECHNOLOGIES CO.,LTD.
192.168.178.204 0c:72:74:53:a3:76 (Unknown)
192.168.178.203 0c:72:74:53:a3:76 (Unknown)
192.168.178.205 0c:72:74:53:a3:76 (Unknown)
192.168.178.205 0c:72:74:53:a3:76 (Unknown) (DUP: 2)
28 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9.7: 256 hosts scanned in 2.033 seconds (125.92 hosts/sec). 28 responded
(der nennt meinen guten Homeassistant also auch WIBRAIN, seufz)
ip r g 192.168.178.80
192.168.178.80 dev enp0s25 src 192.168.178.2 uid 1000
cache
ping -c 3 192.168.178.80
PING 192.168.178.80 (192.168.178.80) 56(84) bytes of data.
64 bytes from 192.168.178.80: icmp_seq=1 ttl=64 time=0.607 ms
64 bytes from 192.168.178.80: icmp_seq=2 ttl=64 time=0.575 ms
64 bytes from 192.168.178.80: icmp_seq=3 ttl=64 time=0.603 ms
--- 192.168.178.80 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2057ms
rtt min/avg/max/mdev = 0.575/0.595/0.607/0.014 ms
|
und nach dem Herunterfahren von HA
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43 | sudo arp-scan -I wlp2s0 -l
Interface: wlp2s0, type: EN10MB, MAC: 00:21:5c:e6:56:b8, IPv4: 192.168.178.55
Starting arp-scan 1.9.7 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.178.1 0c:72:74:53:a3:76 (Unknown)
192.168.178.41 e0:d5:5e:e7:d3:2d GIGA-BYTE TECHNOLOGY CO.,LTD.
192.168.178.42 dc:a6:32:9f:0f:73 Raspberry Pi Trading Ltd
192.168.178.48 08:00:27:2e:0f:11 PCS Systemtechnik GmbH
192.168.178.54 08:00:27:f5:c4:e6 PCS Systemtechnik GmbH
192.168.178.26 60:01:94:8d:ca:43 Espressif Inc.
192.168.178.28 cc:50:e3:78:ce:6c Espressif Inc.
192.168.178.25 a4:cf:12:f4:d7:b8 Espressif Inc.
192.168.178.31 80:64:6f:83:b6:7d (Unknown)
192.168.178.43 98:b6:e9:b6:d4:1e Nintendo Co.,Ltd
192.168.178.39 ce:05:87:ee:9b:cb (Unknown: locally administered)
192.168.178.29 34:3e:a4:b0:29:ca (Unknown)
192.168.178.80 00:1e:06:43:dc:23 WIBRAIN
192.168.178.30 34:20:03:b0:94:24 Shenzhen Feitengyun Technology Co.,LTD
192.168.178.34 7c:0a:3f:7c:66:0c (Unknown)
192.168.178.38 b0:4e:26:54:3b:2d TP-LINK TECHNOLOGIES CO.,LTD.
192.168.178.36 ea:18:6b:9f:ad:80 (Unknown: locally administered)
192.168.178.37 d2:46:18:ae:af:b7 (Unknown: locally administered)
192.168.178.52 b0:4e:26:54:2b:71 TP-LINK TECHNOLOGIES CO.,LTD.
192.168.178.59 7c:61:66:ba:be:ef Amazon Technologies Inc.
192.168.178.72 00:1a:13:6b:6d:47 Wanlida Group Co., LTD
192.168.178.131 b8:27:eb:20:44:97 Raspberry Pi Foundation
192.168.178.204 0c:72:74:53:a3:76 (Unknown)
192.168.178.205 0c:72:74:53:a3:76 (Unknown)
192.168.178.201 0c:72:74:53:a3:76 (Unknown)
192.168.178.203 0c:72:74:53:a3:76 (Unknown)
192.168.178.202 0c:72:74:53:a3:76 (Unknown)
27 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9.7: 256 hosts scanned in 2.052 seconds (124.76 hosts/sec). 27 responded
ip r g 192.168.178.80
192.168.178.80 dev enp0s25 src 192.168.178.2 uid 1000
cache
ping -c 3 192.168.178.80
PING 192.168.178.80 (192.168.178.80) 56(84) bytes of data.
--- 192.168.178.80 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2056ms
|
Nochmal: Es gibt keine Isolation/Trennung im Heim-Netz der FritzBox, zwischen Lan und Wlan. Das ist ein Subnetz (192.168.178.0/24). Die Geräte in diesem Subnetz können sich immer per arp erreichen/sehen.
Das ist mir soweit klar aber nur aus Sicht der Fritzbox oder irgendeinem anderen Gerät im Netzwerk.
Das Bild xx44.jpg eben im Anhang zeigt aber doch nur Funkverkehr der aufgefangen wurde, da kann doch kein LAN-Gerät auftauchen.
Es sei denn....
Mit schwant blödes (Brain oder Nobrain ist hier die Frage)...
Wenn natürlich der Homeassistant die "Fritzbox Tools" installiert hat und dieses Ding Protokolliert welche Geräte erreichbar sind, dann schickt natürlich der Homeassitant mehr oder weniger regelmäßig einen ping oder was auch immer an jedes Gerät. Wenn es nicht antwortet vermutlich auch zwei oder drei mehr. Und die Fritzbox sendet das Paket dann und gibt als source natürlich die Mac von HA an oder? Ich glaube ich stand ganz schlimm auf dem Schlauch 🤣 Aber ich untersuche das nochmal, vielleicht finde ich auch noch was, um mich raus zu reden 😉
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
k99 schrieb: Wenn natürlich der Homeassistant die "Fritzbox Tools" installiert hat ...
Homeassistent runterfahren reicht nicht, du musst das Kabel ziehen bzw. die Verbindung zur FritzBox unterbrechen. Wireshark zeichnet/snifft alles im Heim-Subnetz der FritzBox, Lan- und Wlan-Traffic.
|
|
Mylin
Anmeldungsdatum:
23. Juli 2024
Beiträge: 371
|
@lubux Der arpscan fragt im Netzwerk nach der ARP-Zuordnung und bekommt die aktuellste Tabelle von einem der Geräte, das verbunden ist, übermittelt. Die Tabelle berücksichtigt nicht, ob ein Gerät auch tatsächlich verbunden ist, sondern liefert die gültigen Einträge. Die Gültigkeit eines Eintrages wird durch verschiedene Faktoren bestimmt. arp-scan ist nicht zum festzustellen geeignet ob ein Gerät verbunden ist.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14402
|
Mylin schrieb: arp-scan ist nicht zum festzustellen geeignet ob ein Gerät verbunden ist.
Doch, denn genau das macht arp-scan. Es sendet arp-requests ins W/LAN und wenn die Geräte verbunden sind (und arp nicht gefiltert/geblockt wird), dann antworten die Geräte mit einem arp-reply. Z. B.:
:~# tcpdump -c 100 -vvveni eth0 arp and host 192.168.178.40
tcpdump: listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
17:29:54.061484 xx:xx:xx:b6:b9:a2 > ##:##:##:75:36:60, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.178.40 tell 192.168.178.4, length 28
17:29:54.064294 ##:##:##:75:36:60 > xx:xx:xx:b6:b9:a2, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Reply 192.168.178.40 is-at ##:##:##:75:36:60, length 46
Wenn Du die arp-Tabelle (d. h. den arp-cache) sehen willst, kannst Du "arp -av" direkt auf dem infrage kommenden Gerät oder via ssh (oder gleichwertig), benutzen. Z. B.:
:~# arp -av
fritz.box (192.168.178.1) auf ##:##:##:d3:0a:d6 [ether] PERM auf eth0
yxyxyxyxyx.fritz.box (192.168.178.55) auf xx:xx:xx:a2:f0:72 [ether] PERM auf eth0
xxxxx.fritz.box (192.168.178.13) auf yy:yy:yy:62:3c:ae [ether] auf eth0
yyyyyy.fritz.box (192.168.178.40) auf **:**:**:75:36:60 [ether] auf eth0
Einträge: 4 Ignoriert: 0 Gefunden: 4
Wenn Du den neighbor-cache sehen willst, benutzt Du "ip n s". Wenn Du nur ein einziges Gerät im W/LAN arpscannen/-pingen willst, benutzt Du arping. Z. B.:
:~# arping -c 1 192.168.178.13
ARPING 192.168.178.13 from 192.168.178.4 eth0
Unicast reply from 192.168.178.13 [++:++:++:62:3C:AE] 3.368ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
|
|
Mylin
Anmeldungsdatum:
23. Juli 2024
Beiträge: 371
|
@lubux Ich habe mich vom aktivierten Proxy ARP irritieren lassen. Die Ausgabe von arp-scan sieht damit natürlich anders aus. ☺
|
