Hallo zusammen,
in letzter Zeit schlagen bei uns im Freifunk-Netz immer wieder Samsung Androids auf die anfangen, den von uns verteilten IP-Adressbereich zu scannen.
Aufgefallen ist es uns weil wir einen massiven Anstieg von Multicast Traffic in unserem Monitoring gesehen haben.
Die Infizieren Geräte senden permanent ARP-Requests an anscheinend zufällig ausgewählte IP-Adressen aus unserem gesamten /19. Erhalten sie Antwort wird anscheinend ein Portscan gestartet.
Betroffen sind anscheinend nur Geräte mit Samsung als Vendor der MAC-Adresse und android im Hostnamen.
Da diese Geräte immer wieder an unterschiedlichen stellen im Freifunk-Netz auftauchen haben wir uns dazu entschlossen auf unseren Gateway-Servern die übermäßig häufigen ARP-Requests vorerst zu filtern/begrenzen.
Vielleicht sind euch ja auch solche Geräte im eueren Freifunk-Netzen aufgefallen, über eine Rückmeldung würde ich mich freuen.
Grüße,
Simon (herrbett) aus Karlsruhe
3 „Gefällt mir“
Exakt gleiches Szenario hier.
Siehe
http://forum.freifunk.net/t/ffdus-bitte-keine-portscans-auf-16/
Ich habe es jedoch nicht auf „Malware“ festnageln können.
Stattdessen war ich davon ausgegangen, dass es sich um irgendeine Form von App handelt, die nach Streaming-Quellen und Multicast-Streams im Wlan-Netz sucht.
(Zumindest würde das Verhalten in einem kleinen HeimLAN durchaus sinnvoll sein können, wenn’s darum geht, den Fernseher, die SetTopBox und das NAS zu finden, unabhängig von Hersteller&Co)
Sprich: Welche klaren Indikatoren habt ihr für „Infektion“? Habt ihr so ein Gerät mal unter die Lupe nehmen können?
Oder ist es nur „Infektion“ als Rückschluss auf „beobachtetes Nutzungsverhalten“?
Was tut Ihr da exakt? Gibt’s dazu Doku?
(Hier ist das noch ziemlch händlisch)
2 „Gefällt mir“
Bisher ist bei uns im EN-Kreis nichts derartiges aufgefallen, aber ich halte mal ein Auge drauf 
Was würde eigentlich dagegen sprechen den Clients per DHCP ein /32 zu geben und Statische
Routen via Option 121 ?
- keine direkte ipv4 kommunikation mehr
- direkte ipv6 kommunikation möglich
Grüße
Wie stellt ihr das überhaupt fest?
Monitoring?
Check_mk, Nagios, Netdata, Prometheus, Zabbix… jeder hat so seine Vorlieben.
Oder einfach so simple dinger wie „iptraf-ng“
1 „Gefällt mir“
Infektion ist in dem Fall ein Rückschluss auf beobachtetes Verhalten, da sich mehr als nur ein Gerät mit dem exakt Verhalten in unserem Netz befindet. Auch das diese Geräte Portscans auf anscheinend ausgewählten gefunden Zielen machen, spricht aus meiner Sicht für Malware.
Einen Besitzer eines betroffen Gerätes haben wir leider noch nicht ausfindig machen können.
Am Anfang habe ich auch noch von Hand bestimmte MAC-Adressen gesperrt.
Mittlerweile ist ARP-Proxy auf unserer Gateways aktiv.
Den habe aber nicht ich in betrieb genommen, Doku dazu reiche ich heute Abend nach.
1 „Gefällt mir“
Vielen Dank!
(Ich halte es nach wie vor für vorstellbar, dass das keine Infektion ist.)
Heute zufällig gelesen und musste direkt an das Thema hier denken: