Wie kann man von einem Windows-Computer das drahtlose Gerät identifizieren, das den Router vergiftet?

24

Ich lebe in einem Haus mit verschiedenen anderen Menschen, die alle schwören, dass an keinem ihrer Geräte etwas auszusetzen ist. Das Problem ist, dass bei aktiviertem WLAN auf dem Router Ping-Raketen und eine umfassende Internetleistung vom Himmel fallen. Sobald ich WLAN deaktiviere und meinem PC nur den Zugang zum Internet erlaube, läuft es wieder einwandfrei.

Ich gehe davon aus, dass es ein Gerät gibt, das das Problem verursacht, aber ich habe keine Möglichkeit, es zu identifizieren, da andere Benutzer ziemlich unkooperativ sind. Hier ist ein Bild unten, das zeigt, was mit dem Ping passiert, wenn WLAN eingeschaltet, dann ausgeschaltet und dann wieder eingeschaltet ist.

Oben - WiFi an, Mitte - WiFi aus, Unten - WiFi an.

Gibt es eine einfache Möglichkeit, das Problem in einer solchen Situation zu identifizieren?

Vielen Dank.

— Declan Greally
quelle

Wir benötigen weitere Informationen: Die ipconfigAusgabe (sowohl für Ihre Ethernet- als auch für Ihre WLAN-Karte) wäre nützlich, oder zumindest Ihre Gateway-Konfiguration (AKA als lokale LAN-IP des Routers). Sie können es einfach ausschneiden und einfügen, ohne Bilder zu benötigen.

— Sopalajo de Arrierez

Bei der Untersuchung von ARP-Vergiftungen kann es hilfreich sein, die Ausgabe arp -azumindest für den Wert Ihres Standardgateways (wahrscheinlich Ihres Routers) zu kennen.

— Sopalajo de Arrierez

3

Nun ... 6 Geräte mindestens in Ihrem LAN. Wenn Sie eine ARP-Vergiftung für WLAN vermuten, überprüfen Sie, ob die ARP-Tabelle den Physical AddressWert (mindestens den Wert Ihres Routers: 192.168.0.1) ändert, nachdem Sie 1-2 Minuten in den WLAN-Modus gewechselt haben.

— Sopalajo de Arrierez

1

Von der Frage her scheint sich Ihre Internetleistung zu verschlechtern. Sofern Ihre interne Netzwerkleistung nicht ebenfalls schlecht ist (pingen Sie den Router, greifen Sie auf die Administratorkonsole zu), sollten Sie das einfachste Problem in Betracht ziehen: Jemand führt einen großartigen Download durch oder verwendet Torrent.

— NothingsImpossible

2

Diese Frage scheint überhaupt keine ARP-Vergiftung zu erwähnen. Vergiftungen könnten hier ganz umgangssprachlich verwendet werden. Ich bin mir nicht sicher, warum die Leute so schnell davon ausgehen, dass Sie es für eine ARP-Sache halten.

— Cruncher

30

Können Sie (vorübergehend) die MAC-Filterung im WLAN aktivieren?

Damit sollten Sie in der Lage sein, jeweils eine MAC-Adresse auf die Whitelist zu setzen und festzustellen, welche der Schuldigen ist.

Für das, was es wert ist, würde ich vermuten, dass jemand BitTorrent oder ähnliches ausführt.

— BowlesCR
quelle

Vielen Dank für den Vorschlag, derzeit die drahtlose Verbindung zu überwachen, um zu sehen, wie Geräte verbunden werden, und bei einer Änderung zu pingen. Es scheint fast ohne Grund zu passieren.

— Declan Greally

@DeclanGreally Hast du gedacht, dass dein Router nicht mit Strom versorgt ist? Welche Marke / welches Modell ist das? Welche Firmware läuft es?

— Moswald

1

Dies wird wahrscheinlich nicht sofort nach der Aktivierung eines Geräts geschehen, sondern erst nach einigen Minuten oder einer Stunde, wenn eine falsche Software gestartet wird.

— Daniel R Hicks

1

+1 für den Verdacht, dass eine oder mehrere Personen BitTorrent verwenden. Wenn sie nicht so technisch versiert sind, haben sie wahrscheinlich keine Begrenzung für die Verbindungen und das würde definitiv eine größere Belastung für den Router bedeuten.

— Smalltown2k

22

Auch wenn (einige der) anderen Antworten praktischer sind, um Ihr Problem zu finden, so lange die ursprüngliche Frage etwas wie "Wie finde ich eine ARP-Vergiftung beim Laufen?" wenige Schritte Methode ARP Poisoning gültig für jede Windows - Version zu erkennen , von einem generischen (nicht-WiFi), schnellere und einfachere Verfahren extrahiert hier .:

Wenn Sie den Verdacht haben, dass eine ARP-Vergiftung nur bei WLAN auftritt, überprüfen Sie in der Regel zuerst , ob Ihre ARP-Tabelle den Wert für die physikalische Adresse (mindestens den Wert Ihres Routers, zum Beispiel: 192.168.0.1) nach ein bis zwei Minuten Umschaltung ändert in den WiFi-Modus aus dem Kabelnetzwerkmodus.

Versuchen Sie diese Schritte:

1.- Wechseln Sie zu einem vergiftungsfreien Szenario : Schalten Sie WLAN in Ihrem Router aus.
2. Öffnen Sie die Shell als Administrator :

cmd

3.- Überprüfen ARP - Tabelle:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-24-a5-0e-a8-42   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

4.- Wechseln Sie zu einer möglichen Vergiftung : Schalten Sie WLAN in Ihrem Router EIN.
5.- löschen ARP Cache (Administrator Shell erforderlich):

arp -d -a

6.- Warte 1-2 Minuten (um sicherzustellen, dass der Netzwerkverkehr die Vergiftung gestartet hat).
7.- Überprüfen Sie erneut die ARP-Tabelle:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

Vergleichen Sie mit dem anderen. Wenn sich die physikalische Adresse (AKA als MAC) Ihres Routers geändert hat, liegt eine ARP-Vergiftung in der Szene vor.
Wissen wer die Vergiftungssuche nach Duplikaten in der restlichen ARP-Tabelle sendet (im oben gezeigten Beispiel ist 192.168.0.107 der Giftmischer). Erklärung: Das ARP-Poisoner-Gerät teilt dem gesamten Netzwerk (LAN) so etwas wie "Ich bin jetzt der Router" mit.

— Sopalajo de Arrierez
quelle

Woher wusstest du, dass 107 der Giftmischer ist? Aus dem obigen Screenshot ist bis auf die MAC-Adresse des Routers alles gleich. Danke im Voraus für die Erklärung.

— Kleinanzeigen

3

Es sieht so aus, als ob die MAC-Adresse des Routers in der endgültigen Tabelle mit 107

— identisch ist.

@Klassifiziert, sWW ist richtig: Bei der ARP-Prüfung während WiFi ON hat der Router die gleiche MAC Address(physikalische Adresse) wie die 192.168.0.107 IP, und das ist völlig unmöglich, so dass eine ARP-Vergiftung den gesamten Computer im LAN dazu bringt Senden Sie ihren Internetverkehr an 192.168.0.107, statt an die echte 192.168.0.1. Der Prozess ist etwas länger zu erklären, aber Sie können sagen, dass der Giftmischer bei IP 192.168.0.107 ist.

— Sopalajo de Arrierez

@SopalajodeArrierez und SWW, danke für die Erklärung. Ich bin so blind, dass ich nicht sehe, dass die MAC-Adresse für beide gleich ist.

— Kleinanzeigen

12

Eine Möglichkeit, das Problem zu beheben, besteht darin, jedes Gerät nacheinander auszuschalten, bis das Problem behoben ist. Sobald Ihre Ping-Rate auf ein akzeptables Niveau abfällt, haben Sie Ihren Schuldigen gefunden.

Alternativ zum Ausschalten der Geräte können Sie auch die MAC-Filterung aktivieren und jedes Gerät einzeln hinzufügen. Dies würde sie im Wesentlichen einzeln blockieren. Sobald sich die Level wieder normalisieren, haben Sie das Ressourcenschwein gefunden.

— Moses
quelle

Vielen Dank für den Vorschlag, derzeit die drahtlose Verbindung zu überwachen, um zu sehen, wie Geräte verbunden werden, und bei einer Änderung zu pingen.

— Declan Greally

7

Dumme Frage, aber haben Sie Störungen ausgeschlossen? Befinden sich in der Nähe 2,4-GHz-Geräte wie Schnurlostelefone oder Mikrowellengeräte?

Das Problem tritt auf, wenn die drahtlose Verbindung aktiviert ist. Dies kann zu Funkstörungen führen. Sie können den Router beispielsweise an eine andere Steckdose oder in einen anderen Raum verlegen. Eine Sache, die in der Vergangenheit für mich funktioniert hat, ist das Ändern der Kanäle auf dem Router.

Sie können auch die Firmware des Routers (sofern dies möglich ist) auf DD-WRT aktualisieren und feststellen, ob Änderungen vorliegen. Auf diese Weise können Sie auch die Signalstärke erhöhen.

Ich weiß, das ist nicht so cool wie eine Arp-Vergiftung, aber es lohnt sich, einen Blick darauf zu werfen.

— Tensigh
quelle

Einverstanden, @Tensigh. Ich empfehle NirSoft WirelesNetView nirsoft.net/utils/wireless_network_view.html für die Kanalsuche unter Windows oder InSSIDer unter Android metageek.net/products/inssider

— Sopalajo de Arrierez,

Ich bin immer über eine Kabelverbindung verbunden. Wenn ich das Funksignal auf dem Router aktiviere, merke ich, dass die Leistung im gesamten Netzwerk abnimmt.

— Declan Greally

@DeclanGreally, ich verstehe. Wenn Ihre Mitbewohner jedoch eine drahtlose Verbindung herstellen, kann eines dieser Geräte die Störung verursachen. Obwohl sie keine Verbindung zum WLAN herstellen, suchen ihre iPhones möglicherweise nach WLANs und versuchen, eine Verbindung herzustellen. Scheint seltsam, dass dies zu einem großen Anstieg führen würde, aber der WLAN-Router teilt die Bandbreite mit anderen Geräten, die Kabelverbindungen enthalten.

— Tensigh

1

Sie können überprüfen, welche Kanäle von Ihnen und Ihren Nachbarn verwendet werden. Persönlich benutze ich WiFi Analyzer für Android.

Ein WiFi-Kanal hat eine Bandbreite von +/- 3 Kanälen. Ein Router, der für die Verwendung von Kanal 6 konfiguriert ist, beeinflusst und stört die Kanäle 3 bis 9. In der Praxis bedeutet dies, dass nur die Kanäle 1, 6 und 11 in einem überfüllten Bereich verwendet werden können, wenn Sie sich nicht gegenseitig stören möchten. Wenn die Router für die Verwendung desselben Kanals konfiguriert sind, treten keine Störungen auf, da das WLAN-Protokoll dies auflöst und es den Routern ermöglicht, die verfügbare Bandbreite ohne Konflikte und Neuübertragungen gemeinsam zu nutzen.

Wenn Sie also Kanal 6 und Ihr Nachbar Kanal 3,4,5,7,8 oder 9 verwenden, haben Sie Probleme. Ihr Nachbar wird Ihren Router stören. Da sie verschiedene Kanäle benutzen, können sie sich nicht verstehen und können so das Teilen nicht auflösen. Die Störungen werden zu massiven Neuübertragungen führen, die wiederum den Router Ihres Nachbarn stören, der wiederum neu überträgt. Verstehen Sie das Bild? Es wäre viel besser, wenn Ihr Nachbar auf Kanal 6 wechseln würde.

Warum gibt es Kanäle 2,3,4,5,7,8,9,10, wenn Sie sie nicht verwenden sollen? Ich weiß es nicht wirklich, aber es kann ein historischer Grund sein, weil die Überfülle des heutigen WiFi nicht vorweggenommen wurde und die Reichweite der Kanäle verfügbar war, um Frequenzen fein abzustimmen, um Störungen durch Mikrowellenherde und dergleichen zu vermeiden.

— Peter Ulfheden
quelle

0

Ich vermute, dass Sie wie BowlesCR einen Benutzer haben, der entweder ein Bandbreitenfresser ist oder eine Virusinfektion auf seinem Gerät hat.

Keine einfache Möglichkeit zur Diagnose, es sei denn, Sie verfügen über einen Router mit anderen Überwachungsfunktionen als einer selektiven Blacklist / Whitelist.

— Juanefe
quelle

0

Das Problem ist wahrscheinlich darauf zurückzuführen, dass jemand in Ihrem Netzwerk zu viel Datenverkehr hochlädt, da im Upstream-Bereich viel weniger Kapazität verfügbar ist (wie bereits erwähnt, handelt es sich wahrscheinlich um einen BitTorrent-Client, der so eingestellt ist, dass er beim Start minimiert ausgeführt wird, wie uTorrent usw.). Es ist möglich, dass etwas heruntergeladen wird, aber dies ist wahrscheinlich offensichtlicher, als wenn Leute gestreamte Videos anschauen.

Ein anderer Ansatz besteht darin, so etwas wie ettercap zu verwenden, mit dem Sie kontrolliertes Poison-ARP in Ihrem Netzwerk durchführen können. Auf diese Weise können Sie den Datenverkehr überwachen (mithilfe von Unified Sniffing usw.) und herausfinden, wer zu viele Daten sendet. Es ist vernünftig Tutorial hier . Auch wenn Sie Probleme mit der Benutzerkonformität haben, können Sie mit Ettercap die Verbindung eines Computers selektiv deaktivieren, indem Sie dessen ARP-Tabelle vergiften, damit der Datenverkehr nicht zum Router gelangt.

— Pierz
quelle

0

Haben Sie Sicherheitseinstellungen an Ihrem Router? IP Filter etc? Versuchen Sie nach Möglichkeit, sie für eine Weile auszuschalten und erneut zu pingen. Dies kann manchmal zu einer schlechten Leistung in Routern und zu hohen Pings führen.

— Rexxo
quelle

-1

das neue iphone5 zum beispiel stürzt alte wlan-netzwerke ab, wenn es aktiv ist. Deaktivieren Sie 5 GHz in Ihrem Router und verwenden Sie nur 2 GHz.

— user314024
quelle

6

Haben Sie glaubwürdige Quellen, die diese Behauptung belegen?

— Krankste