Spoofer im Netz

nullu · 10. März 2017 um 07:53

Hi,
ich habe das Gefühl dass wir einen spoofer im Netz haben.

root@302:~# batctl td bat00 | grep is-at
08:45:28.623270 ARP, Reply 10.27.8.152 is-at 4c:9e:ff:77:1b:bb, length 46
08:45:28.629288 ARP, Reply 10.27.8.152 is-at 4c:9e:ff:77:1b:bb, length 46
08:45:28.869539 ARP, Reply 10.27.10.221 is-at 4c:9e:ff:77:1b:bb, length 46
08:45:29.132085 ARP, Reply 10.27.10.41 is-at f0:27:65:8c:84:c7, length 28
08:45:29.189081 ARP, Reply 10.27.8.98 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:29.189089 ARP, Reply 10.27.10.145 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:29.445098 ARP, Reply 10.27.9.153 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:29.802347 ARP, Reply 10.27.9.86 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:29.813698 ARP, Reply 10.27.9.86 is-at 14:a3:64:5b:da:58, length 28
08:45:30.468999 ARP, Reply 10.27.10.105 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:30.469013 ARP, Reply 10.27.9.153 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:30.587858 ARP, Reply 10.27.9.174 is-at 4c:9e:ff:77:1b:bb, length 46
08:45:30.725018 ARP, Reply 10.27.10.222 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:30.981043 ARP, Reply 10.27.8.249 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:31.237058 ARP, Reply 10.27.10.200 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:31.492995 ARP, Reply 10.27.10.105 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:31.657394 ARP, Reply 10.27.9.103 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:31.918087 ARP, Reply 10.27.10.174 is-at 4c:9e:ff:77:1b:bb, length 46
08:45:32.261164 ARP, Reply 10.27.10.119 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:32.521003 ARP, Reply 10.27.10.155 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:32.773042 ARP, Reply 10.27.10.16 is-at 4c:9e:ff:77:1b:bb, length 28
08:45:32.999241 ARP, Reply 10.27.10.124 is-at 4c:9e:ff:77:1b:bb, length 46

Wie bekomme ich raus über welchen Router / Tunneldigger dieser Client kommt?

MisterCrumble · 10. März 2017 um 08:04

Hallo,

ich kann dir die doku zu batctl empfehlen.

https://downloads.open-mesh.org/batman/manpages/batctl.8.html

fuzzle · 10. März 2017 um 08:07

du musst dich ins batman hangeln und dann die entsprechende mac suchen (denn die sollte ja exisitieren)
batctl tg| grep 4c:9e:ff:77:1b:bb
dann bekommst du eine andere mac raus an die der hängt, die findest du dann im meshviewer (bzw. direkt in der nodes.json)

Grund ist, die Mac hängt da lokal ja an eth0/client0(AP) und die mac im meshviewer ist die uplink-macadresse

ein batctl tr 4c:9e:ff:77:1b:bb könnte auch helfen, aus diesem Grund haben wir auch eine bat-hosts Datei angelegt in der alle Mac adressen unserer Supernodes/Gateways drin sind, dann machen solche ausgaben auf einmal sinn…
ich hatte mal nen script das aus der nodes.json mit den nodenamen einen bat-hosts erstellt hat, aber das ist verloren gegangen (wäre schön jemand schreibt sowas nochmal also was wo man die nodes.json reinwirft und ne bat-hosts rauskommt

sonst schaumal nach find_mac.sh in meinen tool scripten (musste natürlich die pfadeanpassen)
https://cccfr.de/git/viisauksena/toolbox/blob/master/find_mac.sh

ChrisD · 10. März 2017 um 08:29

Hi

Batctl tr MAC

Sollte die den node aufzeigen

Mfg

Christian

nullu · 10. März 2017 um 08:37

DANKE
batctl -m bat00 tr 4c:9e:ff:77:1b:bb

Ich dachte batctl tr spricht nur mit B.A.T.M.A.N. fähigen Geräten.
Wir haben jetzt den „Übeltäter“ ermitteln können.

ChrisD · 10. März 2017 um 10:40

Hi

Nein batctl tr spricht mit fast allen was Batman irgendwie wissen muss, neben MACs gehen auch IP Adressen ist ziemlich vielseitig und sehr hilfreich.

Mfg
Christian

fuzzle · 10. März 2017 um 16:08

ich erweiter mal @ChrisD : Teilnehmer im batman Netz sind alle Geräte die an einem IF hängen das in batman (bat0 idR) gehangen wird. Also kann ich bei meinem Router das Mesh-vpn Interface adressieren und ibss0, zusätzlich kann jeder an dem client0 IF (das ist der AP mit freifunk ssid) adresiert werden. Jeder Supernode mit dem backbone Interface und dem Mesh-vpn interface. Batman unterscheidet da die tg Liste und die o Liste.

tg- transglobal : alles was mit batman erreichbar ist, das ist der Riesen layer 2 Switch von dem oft die Rede ist
o - originator, das sind Dinge die wirklich batman sprechen können, dazu gehören eben nicht die clients selber, diese werden von einem originator nur „gemeldet“

für weiteres dann wie @MisterCrumble meinte dann den batctl link folgen

(randnotiz: deswegen darf man an ein clientif nicht einfach ein anderes clientif dranhängen, das wäre ein 1a loop)