Blacklist Rogue Clients in Flüchtlingsunterkünften?

Wir sehen hier jetzt häufiger Clients die offenbar ein Netzscan betreiben. „Sehen“ heisst das ich bei mir zuhause jede Menge aggressiv getimter ARP Requests diese Art im Client Netz auftauchen.

Lt MAC sind dies China Androids die laut brtctl tr verstärkt in Flüchtlingsheimen auftauchen.

Nun stellen sich mir Fragen:
I. Hat jemand das auch schon beobachtet? Ich vermute keinen Vorsatz sondern kompromittierte Geräte. Da wäre ja der erste Ansatz ja den Besitzer zu helfen die Kontrolle über ihr Gerät wiederzubekommen. Das stelle ich mir leider beliebig schwierig vor. Aufklärung in den Unterkünften anbieten?

II. Kann dies eine normale Anwendung sein?

III. Wie kriegt man das am besten technisch in den Griff? Erste Versuche das durch die Betreiber lokal einen MAC Block eintragen zu lassen ist sehr mühsam, so kommen wir da nicht hinterher. Auf Supernode blocken? Finde ich nicht schön aber wir gehen wg. Broadcast Traffic auf dem Zahnfleich.

Wie könnte ich so ein Verhalten am Besten feststellen? Kommt das bei meiner Heimnode an (Wireshark)? Bin doch n00b.

Ja, tun sie.

tcpdump -e -i bat0 arp|grep who-has

Wie Du die das dann jedoch aggregierst sei Dir überlassen.

2 Likes

Können wir nicht einen Patch in die Firmware einbauen, der die filtert?

Ich hab’s mit Wireshark gemacht. Wichtig das man im Clientnetz ist.

Man sieht das dann schon :slight_smile:
Oder einfach „arp“ als Filter eingeben.

Bei uns jetzt gerade 60 Pakete/sek. Davon 48 von drei Telefonen. :frowning:

Hast du ein Filterkriterium?

Keine Ahnung, ob das funktioniert, aber ein erster Ansatz wäre:

ebtables -A INPUT -p arp --arp-opcode request -j DROP

Ich bin mir nicht ganz sicher, ob die Who-is-Pakete vom arp-opcode request erfasst werden.

Grüße
Matthias

:astonished: Dir ist schon klar das ohne ARP das Netz nicht mehr funktioniert, oder?

Selbst gezieltes Filtering wüsste ich nicht da die Pakete ja erstmal alle innerhalb von batman gerouted werden.

Nein, ich lerne gerade :wink:

Man wird die Regel sicherlich so genau eingrenzen können, dass genau die Pakete gefiltert werden, die diese „who-is“-Anfragen enthalten.

Nein, wie filtert man in batman?