[Frage] Viele unbekannte MAC-Adressen melden sich an..

[peter.geher]

Hallo, immer mal wieder gehe ich in meine 7390 (FRITZ!OS: 06.83-47873 PLUS) auf Heimnetz > Netzwerkübersicht > Netzwerkverbindungen und stelle fest, das sich viele absolut unbekannte Geräte angemeldet hatt en.
LAN1 geht zur Fritzbox 7412 die das Internet stellt. LAN2 geht zu einen Switch und somit das eigentliche LAN/Netzwerk hier. LAN3 geht zu einen Proxmox-Server (Die Container bekommen den MAC-Prefix ca:fe:*). LAN4 ist Gastzugang für Freifunk (Das hatte ich anfangs in verdacht...).

Jetzt würde ich gerne herausfinden, woher die ganzen Dinger kommen. Die MAC-Adressen sind alle Ungültig, hatte einige schon bei macvendorlookup.com getestet. Klar, ich kann die alle mit einen Klick auf "Entfernen" entfernen, aber irgendwo müssen die ja herkommen.

Hat jemand von euch eine Idee, wie ich da angreifen und herausfinden kann, woher die "Anmeldungen" kommen? Oder ist das einfach nur eine Fehlfunktion/BUG von der Fritzbox?


Gruß,
der Peter

 

[PeterPawn]

Das sieht ja eher so aus, als würde ein Client seine MAC-Adresse auswürfeln (was er durchaus darf nach den Standards) und die FRITZ!Box dem dann jeweils eine neue IP zuordnen (was bleibt ihr auch anderes übrig) ... bis auf die "rühmliche Ausnahme" mit "00:26:4d:..." sind das ja auch alles lokale MAC-Adressen (das Bit mit dem Wert 2 im ersten Byte ist gesetzt) - das erklärt auch, warum man die beim Lookup nicht findet.

Hier würde ich also mal die vorhandenen Geräte überprüfen (ob man das jetzt im Ein- oder im Ausschlußverfahren macht, hängt u.a. auch davon ab, wieviele Geräte es wirklich gibt) und dann sollte sich das schuldige schon finden lassen ... erst wenn es mehrere sind, wird es schwierig (weil nicht mehr so ganz eindeutig).

Ein Bug ist es jedenfalls eher nicht ... die FRITZ!Box "denkt" sich ja keine MAC-Adressen für die Geräte aus. Leider ist so eine "freie" MAC-Adresse tatsächlich nicht so einfach zu diagnostizieren bzw. einem Gerät zuzuordnen ... event. hilft es, wenn man beim Auftauchen so einer Adresse ein "finger printing" des Systems dahinter versucht (welche Ports sind offen, welche zu, was gibt es auf offenen Ports für Antworten, usw.), wenn man nicht auf jedem Gerät selbst ermitteln kann, welche MAC es gerade verwendet (nicht überall hat man einen Shell-Zugang oder Diagnose-Tools). Ansonsten liefert das Interface (und natürlich das "Kabelziehen" bzw. das Aussperren aus dem WLAN, wenn die MAC dann auch verschwindet) noch einen (bedingt hilfreichen) Hinweis ... je nach der Anzahl der Geräte dahinter kann das vieles oder gar nichts als "verdächtig" ausschließen.

 

[deoroller]

Ich würde mal das WLAN an der Fritzbox 7412 für einen halben Tag deaktiveren und wenn das Theater dann aufhört, ist der Fehler schon mal eingegrenzt.

 

[andilao]

So wahnsinnig viele neue MAC-Adressen kommen da nicht pro Tag. Außerdem kommen die laut deiner 7390 über LAN2 und damit den Switch - da wirst du ja wohl noch die Übersicht haben.

 

[peter.geher]

So wahnsinnig viele neue MAC-Adressen kommen da nicht pro Tag.

Jede unbekannte MAC/Unbekanntes Gerät ist -für mich- eins zu viel.

Außerdem kommen die laut deiner 7390 über LAN2 und damit den Switch - da wirst du ja wohl noch die Übersicht haben.

Ja eben. Von dort (Switch) aus kommt mein Laptop (Arch-Linux), VDR, Spielkonsolen (PS3 und PS4, meistens komplett aus) und ein Windows PC (Seit Monaten aus). Das Problem habe ich seit Januar rum. Mal mehr mal weniger. Vorher hing auch noch der Proxmox-Server und der Freifunk-Router mit am Switch. Aber die beiden kann ich jetzt definitiv ausschließen.

Ich würde mal das WLAN an der Fritzbox 7412 für einen halben Tag deaktiveren und wenn das Theater dann aufhört, ist der Fehler schon mal eingegrenzt.

Das WLAN ist Deaktiviert, und wird nur mal Temporär eingeschaltet wenn ich hier per WLAN irgendwelche Internet-Probleme habe um zu Testen, ob es nun am Internet oder der 7390 liegt .
Die 7412 macht nur WAN und Telefonie. Selbst das habe ich der 7390 schon genommen, in der Hoffnung, dass das daran liegen könnte...

Hier würde ich also mal die vorhandenen Geräte überprüfen (ob man das jetzt im Ein- oder im Ausschlußverfahren macht, hängt u.a. auch davon ab, wieviele Geräte es wirklich gibt) und dann sollte sich das schuldige schon finden lassen ... erst wenn es mehrere sind, wird es schwierig (weil nicht mehr so ganz eindeutig).

Mein Problem ist halt, das ich nie weiß, wann eine MAC/IP auftaucht. Wenn ich jetzt alle paar Minuten rein schaue, passiert nichts. Schaue ich dann morgen früh rein, sind mindestens 3-6 neue Einträge vorhanden.

 

[koyaanisqatsi]

Moins


Ick möchte auch mal was dazu spekulieren

Das 10er Netz wird auch gern für CGN Mobilfunkinternet genutzt.
Vielleicht denken da ein paar durchgeknallte Smartfon Apps, dass sie dann ihre MAC rotieren lassen müssen.
...aus Sicherheitsgründen, versteht sich

 

[PeterPawn]

Schaue ich dann morgen früh rein, sind mindestens 3-6 neue Einträge vorhanden.

Solange noch wenigstens eine davon auch aktiv ist, sollte das oben erwähnte "finger printing" (meinetwegen mit "nmap") ja für diese MAC-Adresse auch funktionieren. Blöd wird es erst dann, wenn keine weiteren neuen Adressen auftauchen - wobei dann das Problem wohl auch gelöst wäre.