Blacklist Rogue Clients in Flüchtlingsunterkünften?

vax · 14. Oktober 2015 um 10:41

Wir sehen hier jetzt häufiger Clients die offenbar ein Netzscan betreiben. „Sehen“ heisst das ich bei mir zuhause jede Menge aggressiv getimter ARP Requests diese Art im Client Netz auftauchen.

Lt MAC sind dies China Androids die laut brtctl tr verstärkt in Flüchtlingsheimen auftauchen.

Nun stellen sich mir Fragen:
I. Hat jemand das auch schon beobachtet? Ich vermute keinen Vorsatz sondern kompromittierte Geräte. Da wäre ja der erste Ansatz ja den Besitzer zu helfen die Kontrolle über ihr Gerät wiederzubekommen. Das stelle ich mir leider beliebig schwierig vor. Aufklärung in den Unterkünften anbieten?

II. Kann dies eine normale Anwendung sein?

III. Wie kriegt man das am besten technisch in den Griff? Erste Versuche das durch die Betreiber lokal einen MAC Block eintragen zu lassen ist sehr mühsam, so kommen wir da nicht hinterher. Auf Supernode blocken? Finde ich nicht schön aber wir gehen wg. Broadcast Traffic auf dem Zahnfleich.

SenorKaffee · 14. Oktober 2015 um 10:52

Wie könnte ich so ein Verhalten am Besten feststellen? Kommt das bei meiner Heimnode an (Wireshark)? Bin doch n00b.

adorfer · 14. Oktober 2015 um 11:01

Ja, tun sie.

tcpdump -e -i bat0 arp|grep who-has

Wie Du die das dann jedoch aggregierst sei Dir überlassen.

MPW · 14. Oktober 2015 um 12:04

Können wir nicht einen Patch in die Firmware einbauen, der die filtert?

vax · 14. Oktober 2015 um 12:11

Ich hab’s mit Wireshark gemacht. Wichtig das man im Clientnetz ist.

Man sieht das dann schon
Oder einfach „arp“ als Filter eingeben.

Bei uns jetzt gerade 60 Pakete/sek. Davon 48 von drei Telefonen.

vax · 14. Oktober 2015 um 12:14

Hast du ein Filterkriterium?

MPW · 14. Oktober 2015 um 12:26

Keine Ahnung, ob das funktioniert, aber ein erster Ansatz wäre:

ebtables -A INPUT -p arp --arp-opcode request -j DROP

Ich bin mir nicht ganz sicher, ob die Who-is-Pakete vom arp-opcode request erfasst werden.

Grüße
Matthias

vax · 14. Oktober 2015 um 12:36

Dir ist schon klar das ohne ARP das Netz nicht mehr funktioniert, oder?

Selbst gezieltes Filtering wüsste ich nicht da die Pakete ja erstmal alle innerhalb von batman gerouted werden.

MPW · 14. Oktober 2015 um 12:43

Nein, ich lerne gerade

Man wird die Regel sicherlich so genau eingrenzen können, dass genau die Pakete gefiltert werden, die diese „who-is“-Anfragen enthalten.

vax · 14. Oktober 2015 um 12:43

Nein, wie filtert man in batman?