[HaBo]

nik · 15.11.06, 10:50

Hallo

bin neu im bereich netzwerktechnik... habe nun ein eigenes netzwerk aufgebaut.

nun wollte ich mal prüfen, ob ich die ip-adressen sehen kann der verschiedenen computer. dazu nutzte ich superscan. dabei ist mir aufgefallen, dass es eine ip gibt 192.168.117.20, welche ich keinem gerät zuweisen kann. ???

habe gedacht, ich könnte mal mit ethereal das netzwerk sniffen um rauszufinden, was für traffic von dieser ip aus geht. leider sehe ich nur den eigenen traffic (vom computer wo ethereal installiert ist), aber nicht von den anderen computer. Als modem nutze ich netopia cayman.

kann mir jemand weiterhelfen.
besten dank und gruss
nik

**lightsaver** · 15.11.06, 12:13

hmmm, wenn du dich ein wenig klarer ausdrücken würdest und mehr infos liefern könntest wäre das echt hilfreich!

1. wieviele computer hast du in deinem netzwerk
2. wie verbunden
2a. router?
2b. wie sind die einzelnen computer angeschlossen, wlan, kabel
3. benutzt du dhcp oder feste ips
4. hast du mal mit ipconfig auf den jeweiligen rechnern nach der ip geguckt
5. sind die rechner an
6. was ist jetzt genau dein problem? die ip oder ethereal?

wenn du hilfe haben willst musst du halt alles so genau wie möglich beschreiben, unsere glaskugeln streiken nämlich gerade ;-)

Anzeige

- Anzeige -

nik · 15.11.06, 12:27

Hallo

Sorry für die Konfusion. Es sieht folgendermassen aus.

Ich habe ein Modem netopia cayman 3000. An dieses Modem ist ein Windows Server 2003 angeschlossen. Von diesem Server geht ein Kabel an ein Dell Power Connect, an welchem die verschiedenen Computer angeschlossen sind.

Den Computern habe ich eine fixe IP zugewiesen. Beispiel:

Server 192.168.1.100
Computer A 192.168.1.101
Computer B 192.168.1.102
Computer C 192.168.1.103

Das Modem (oder glaube ich vielfach Router genannt) hat eine IP 192.168.1.1

Nun habe ich ein Notebook, mit welchem ich mich direkt an das Modem angeschlossen habe (via Netzwerkkabel oder auch Wireless). Führe ich nun ein Scan durch, finde ich nebst modem und meinem Notebook, Server eine IP Adresse 192.168.117.25, welche nach erneutem Routerstart wechselt. Meist jedoch immer mit 192.168.117.x beginnt.

Nun habe ich alles vom Modem abgehängt, Wireless ausgeschalten und nur mein Notebook angeschlossen und ein neuer Scan durchgeführt. Dabei finde ich diese "Fremde" IP nachwievor. Der Scan sagt mir, dass es ein Host ist und ein FTP Port 21 gefunden wurde.

Wo ist dieser Computer??? Wie könnte ich Sniffen um rauszufinden, was für Informationen evtl. dieser Host sendet. Das würde mich vielleicht auf einen Pfad bringen, was es für ein Gerät sein könnte... aber eigentlich ist ja nichts weiteres angeschlossen.

Besten Dank für die Hilfe im Voraus. Hoffe die Angaben genügen.
Gruss
Nik

R!K3R · 15.11.06, 12:32

Was für eine Subnetmask hast du verteilt ?

**lightsaver** · 15.11.06, 12:50

hmmm, ich überlege grade was.

was hast du denn für eine zugangsart zum internet? dsl, cablemodem (kann dieses spezielle modem nämlich nicht finden)
welcher anbieter?

ich könnte mir nämlich nur vorstellen, dass dir ein anbieter keine öffentliche ip gibt, sondern dich in ein größeres netzwerk integriert und sozusagen nat macht. also im prinzip nichts anderes als was du netzintern machst. das wäre so im augenblick die einzige idee, wo die ip herkommt, wenn nur noch das notebook am modem angeschlossen ist.

kannst ja mal gucken, ob du im webinterface vom modem dazu was findest (falls es das bei dem gerät gibt). also sowas wie externe ip oder vom anbieter zugewiesene ip oder sowas in der art.

nik · 15.11.06, 13:34

Subnetzmaske ist 255.255.255.0

Der Name des Modems ist Netopia 3357WG. Ich kann mich über 192.168.1.1 in die Konfiguration des Modems einlinken. Dabei kann ich auch die IP sehen, welche der Provider dem Modem vergibt. Diese ist dann aber meistens sowas wie 69.244.2... und nicht eine "LAN-Adresse" wie 192.168.1.x. Daher glaube ich nicht, dass es sich um eine IP des Providers handelt.

Kann es eine IP eines Hackers sein?

Warum fnktioniert bei mir der promiscuous Mode nicht bei Ethereal?

Der Zugang ist über ADSL.

**lightsaver** · 15.11.06, 13:38

Zitat:

Warum fnktioniert bei mir der promiscuous Mode nicht bei Ethereal?

hmmm, vielleicht unterstützt deine netzwerkkarte das nicht oder es muss dort erst aktiviert werden

Prometheus · 15.11.06, 14:25

Zitat:

Original von nik
Kann es eine IP eines Hackers sein?

Warum fnktioniert bei mir der promiscuous Mode nicht bei Ethereal?

Der Zugang ist über ADSL.

Warum nimmst du dir nicht die Mac-Adressen her und vergleichst die mit dem Rechner, der die fremde IP-Adresse hat?
Die meistens Scanner zeigen die Mac-Adresse des anderen Rechners an, wie der GFI-Languard.
Oder du kannst es auch mit den herkömmlichen Windowsprogrammen:
Start --> Ausführen --> cmd --> ping dieIpdesFremden --> arp -a

Der P-Mode funktioniert nur bei gehubten Netzwerken und nicht bei geswitchten.
Hubs sind so konstruiert das sie die Daten erstmal an jeden PC schicken, auch wenn diese nicht für sie gedacht sind. So müssen die Rechner die Aufgabe übernehmen die Daten zu verweigern oder anzunehmen. Beim P-Mode werden gleich alle Daten angenommen. Switchs dagegen haben einen Speicher, wo genau drin steht welcher Rechner wo sitzt und schicken die Daten nur an den addressierten Rechner.

Damit Angreifer auch im geswitchten Netzwerk Sniffen können, versuchen sie ARP-Flooding. Somit wird die ARP-Tabelle des Switches in dem ein Addressverzeichnis der Rechner im Netzwerk steht, durcheinander zu bringen. Dann kommt der Switch durcheinander und du kannst im P-Mode auch fremde Daten empfangen.

Aber viele Switches sind dagegen geschützt und wenn du es mit deinem eigenen Switch machst, kann der Angreifer ebenso ziemlich gut sniffen.

elite-noob · 15.11.06, 15:01

Nur so ne idee, wenn man das Modem vom Internet trennt und dann mit dem Laptop nach der IP schaut, müsste ja dennoch was angezeigt werden (das modem ist ja eingeschalten wenn auch net online) wenn die andere ip dann noch da ist würde ich von einem herstellerfehler oder dergleichen ausgehen. wenn sie dann weg ist würde ich mir sorgen machen.

Christian

nik · 15.11.06, 16:35

Hallo

Das mit dem Modem war ne gute idee. habs gleich getestet und leider unerfreulich. habe das Telefonkabel vom modem getrennt, ip war weg. Hab das Telekabel wieder angeschlossen, ip war wieder da aber mit einer anderen nummer.

Selbst wenn ein hacker am werk ist, wie kann er mich so schnell wieder finden? Er muss ja auch ein scan machen oder nicht? Desweitern wird er ja nicht immer am compi sitzen...

Habe nun auch noch den tipp mit arp -a ausprobiert.

Da kommt als interface meine ip des computers und die ip und mac adresse des routers. die weitere ip ist nicht vorhanden, obwohl ich diese mit superscan gefunden habe. ich verstehe nur bahnhof ;-(

Prometheus · 15.11.06, 19:15

Zitat:

Original von nik
Hallo

Das mit dem Modem war ne gute idee. habs gleich getestet und leider unerfreulich. habe das Telefonkabel vom modem getrennt, ip war weg. Hab das Telekabel wieder angeschlossen, ip war wieder da aber mit einer anderen nummer.

Selbst wenn ein hacker am werk ist, wie kann er mich so schnell wieder finden? Er muss ja auch ein scan machen oder nicht? Desweitern wird er ja nicht immer am compi sitzen...

Vielleicht eine virtuelle IP-Adresse, wie es unter Linux möglich ist? Oder ein anderes Netzwerkgerät?

Wie es aussieht hast du DHCP drin, denn die IP hat sich ja geändert. Vielleicht bist du deswegen auch durcheinander gekommen. Du hast zwar IPs vergeben, jedoch hat dein Router die IPs wieder von Neuem vergeben und darunter auch eine dir unbekannte IP-Adresse.

Zitat:

Original von nik
Habe nun auch noch den tipp mit arp -a ausprobiert.

Da kommt als interface meine ip des computers und die ip und mac adresse des routers. die weitere ip ist nicht vorhanden, obwohl ich diese mit superscan gefunden habe. ich verstehe nur bahnhof ;-(

Ping sie nicht mit den Superscan an, sondern mit den Windows - Ping - Befehl.
Also ping Rechner.
Der Befehl arp -a ruft dann den Cache der Rechneradressen(IP und Mac) auf, der im Rechner eine bestimmte Zeit gespeichert werden. Diese werden dann gespeichert wenn ein Kontakt, z.B. mittels Ping aufgebaut wird.
Bei Superscan ist es sicher auch ein Kontakt, aber da bin ich mir nicht so sicher, ob er die Adressen nicht gleich wieder aus dem Cache löscht oder erst garnicht speichert.

Heinzelotto · 15.11.06, 20:21

Du hast doch gesagt, dass auf dem seltsamen Rechner der Port 21 offen ist. Dann versuch doch einfach mal mit einem FTP-Programm, auf diesen Rechner zuzugreifen. Das ist auf jeden fall das, was ich als erstes gemacht hätte. Wenn du dann auf diesen Rechner zugreifen kannst, gibt dir das vielleicht weitere Hinweise.
(Die IP's 192.168.117.x werden übrigens in Israel vergeben soweit ich weiß, also seltsam, dass dein Router öffentliche IP's vergibt)

LX · 15.11.06, 21:20

Zitat:

Original von Heinzelotto
(Die IP's 192.168.117.x werden übrigens in Israel vergeben soweit ich weiß

192.168.0.0/16 ist ein nach RFC1918 ausschließlich für private Netzwerke reservierter IP-Bereich. Das sieht auch in Israel nicht anders aus.

Heinzelotto · 16.11.06, 00:29

und ich hatte gedacht, nur die IP's von 192.168.0.1 bis 192.168.0.255 wären für private netzwerke vorgesehen (mal abgesehen von den 10.x.x.x und 172.16.0.0?172.31.255.255).

dupLex · 16.11.06, 00:38

Ich habe den thread jetzt nur überflogen. könnte es sein, dass du auf deinen win 2003er server einen ftp laufen hast. wenn ja schau mal nach ob du irgendeine einstellung getroffen hast, das von den server zwei ips ausgehen.
beim genaueren drüber nachdenken kommt es mir zwar spanisch vor aber ich kanns mir derzeit nicht anders erklären.
die 192.168.117 ist definitiv eine IP aus einen privaten netz.
ping ihn doch einfach mal an. wäre gespannt was dabei rauskommt. rein theoretisch dürftest du da nämlich keine antwort erhalten.
andere möglichkeit. scan mal mit nen anderen ip-scanner. vll ist es nen fehler von superscan.

Anzeige

- Anzeige -

15.11.06, 10:50	#1 (permalink)
nik Registriert seit: 15.11.06 Likes: 0	IP adresse im LAN, aber von wem? Anzeige Hallo bin neu im bereich netzwerktechnik... habe nun ein eigenes netzwerk aufgebaut. nun wollte ich mal prüfen, ob ich die ip-adressen sehen kann der verschiedenen computer. dazu nutzte ich superscan. dabei ist mir aufgefallen, dass es eine ip gibt 192.168.117.20, welche ich keinem gerät zuweisen kann. ??? habe gedacht, ich könnte mal mit ethereal das netzwerk sniffen um rauszufinden, was für traffic von dieser ip aus geht. leider sehe ich nur den eigenen traffic (vom computer wo ethereal installiert ist), aber nicht von den anderen computer. Als modem nutze ich netopia cayman. kann mir jemand weiterhelfen. besten dank und gruss nik

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Internetfahndung über MAC-Adresse oder IP-Adresse	5etH	(In)security allgemein	10	28.03.12 15:08
ip adresse	hanna879	Internet Allgemein	16	15.11.07 18:28
Zu einer bestimmten Adresse springen, die aber " enthält	Elderan	Hacks & Crackmes	2	26.11.06 13:14
IP zu Adresse	Strahl	Internet Allgemein	4	22.07.05 21:42
Ip Adresse C++	metinoenal	Code Kitchen	5	22.05.03 17:40

15.11.06, 12:13	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	hmmm, wenn du dich ein wenig klarer ausdrücken würdest und mehr infos liefern könntest wäre das echt hilfreich! 1. wieviele computer hast du in deinem netzwerk 2. wie verbunden 2a. router? 2b. wie sind die einzelnen computer angeschlossen, wlan, kabel 3. benutzt du dhcp oder feste ips 4. hast du mal mit ipconfig auf den jeweiligen rechnern nach der ip geguckt 5. sind die rechner an 6. was ist jetzt genau dein problem? die ip oder ethereal? wenn du hilfe haben willst musst du halt alles so genau wie möglich beschreiben, unsere glaskugeln streiken nämlich gerade ;-)

15.11.06, 12:27	#3 (permalink)
nik Themenstarter Registriert seit: 15.11.06 Likes: 0	Hallo Sorry für die Konfusion. Es sieht folgendermassen aus. Ich habe ein Modem netopia cayman 3000. An dieses Modem ist ein Windows Server 2003 angeschlossen. Von diesem Server geht ein Kabel an ein Dell Power Connect, an welchem die verschiedenen Computer angeschlossen sind. Den Computern habe ich eine fixe IP zugewiesen. Beispiel: Server 192.168.1.100 Computer A 192.168.1.101 Computer B 192.168.1.102 Computer C 192.168.1.103 Das Modem (oder glaube ich vielfach Router genannt) hat eine IP 192.168.1.1 Nun habe ich ein Notebook, mit welchem ich mich direkt an das Modem angeschlossen habe (via Netzwerkkabel oder auch Wireless). Führe ich nun ein Scan durch, finde ich nebst modem und meinem Notebook, Server eine IP Adresse 192.168.117.25, welche nach erneutem Routerstart wechselt. Meist jedoch immer mit 192.168.117.x beginnt. Nun habe ich alles vom Modem abgehängt, Wireless ausgeschalten und nur mein Notebook angeschlossen und ein neuer Scan durchgeführt. Dabei finde ich diese "Fremde" IP nachwievor. Der Scan sagt mir, dass es ein Host ist und ein FTP Port 21 gefunden wurde. Wo ist dieser Computer??? Wie könnte ich Sniffen um rauszufinden, was für Informationen evtl. dieser Host sendet. Das würde mich vielleicht auf einen Pfad bringen, was es für ein Gerät sein könnte... aber eigentlich ist ja nichts weiteres angeschlossen. Besten Dank für die Hilfe im Voraus. Hoffe die Angaben genügen. Gruss Nik

15.11.06, 12:32	#4 (permalink)
R!K3R Registriert seit: 06.02.06 Likes: 0	Was für eine Subnetmask hast du verteilt ?

15.11.06, 12:50	#5 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	hmmm, ich überlege grade was. was hast du denn für eine zugangsart zum internet? dsl, cablemodem (kann dieses spezielle modem nämlich nicht finden) welcher anbieter? ich könnte mir nämlich nur vorstellen, dass dir ein anbieter keine öffentliche ip gibt, sondern dich in ein größeres netzwerk integriert und sozusagen nat macht. also im prinzip nichts anderes als was du netzintern machst. das wäre so im augenblick die einzige idee, wo die ip herkommt, wenn nur noch das notebook am modem angeschlossen ist. kannst ja mal gucken, ob du im webinterface vom modem dazu was findest (falls es das bei dem gerät gibt). also sowas wie externe ip oder vom anbieter zugewiesene ip oder sowas in der art.

15.11.06, 13:34	#6 (permalink)
nik Themenstarter Registriert seit: 15.11.06 Likes: 0	Subnetzmaske ist 255.255.255.0 Der Name des Modems ist Netopia 3357WG. Ich kann mich über 192.168.1.1 in die Konfiguration des Modems einlinken. Dabei kann ich auch die IP sehen, welche der Provider dem Modem vergibt. Diese ist dann aber meistens sowas wie 69.244.2... und nicht eine "LAN-Adresse" wie 192.168.1.x. Daher glaube ich nicht, dass es sich um eine IP des Providers handelt. Kann es eine IP eines Hackers sein? Warum fnktioniert bei mir der promiscuous Mode nicht bei Ethereal? Der Zugang ist über ADSL.

15.11.06, 15:01	#9 (permalink)
elite-noob Registriert seit: 25.09.05 Likes: 2	Nur so ne idee, wenn man das Modem vom Internet trennt und dann mit dem Laptop nach der IP schaut, müsste ja dennoch was angezeigt werden (das modem ist ja eingeschalten wenn auch net online) wenn die andere ip dann noch da ist würde ich von einem herstellerfehler oder dergleichen ausgehen. wenn sie dann weg ist würde ich mir sorgen machen. Christian

15.11.06, 16:35	#10 (permalink)
nik Themenstarter Registriert seit: 15.11.06 Likes: 0	Hallo Das mit dem Modem war ne gute idee. habs gleich getestet und leider unerfreulich. habe das Telefonkabel vom modem getrennt, ip war weg. Hab das Telekabel wieder angeschlossen, ip war wieder da aber mit einer anderen nummer. Selbst wenn ein hacker am werk ist, wie kann er mich so schnell wieder finden? Er muss ja auch ein scan machen oder nicht? Desweitern wird er ja nicht immer am compi sitzen... Habe nun auch noch den tipp mit arp -a ausprobiert. Da kommt als interface meine ip des computers und die ip und mac adresse des routers. die weitere ip ist nicht vorhanden, obwohl ich diese mit superscan gefunden habe. ich verstehe nur bahnhof ;-(

15.11.06, 20:21	#12 (permalink)
Heinzelotto Senior Member Registriert seit: 29.07.05 Likes: 0	Du hast doch gesagt, dass auf dem seltsamen Rechner der Port 21 offen ist. Dann versuch doch einfach mal mit einem FTP-Programm, auf diesen Rechner zuzugreifen. Das ist auf jeden fall das, was ich als erstes gemacht hätte. Wenn du dann auf diesen Rechner zugreifen kannst, gibt dir das vielleicht weitere Hinweise. (Die IP's 192.168.117.x werden übrigens in Israel vergeben soweit ich weiß, also seltsam, dass dein Router öffentliche IP's vergibt)

16.11.06, 00:29	#14 (permalink)
Heinzelotto Senior Member Registriert seit: 29.07.05 Likes: 0	und ich hatte gedacht, nur die IP's von 192.168.0.1 bis 192.168.0.255 wären für private netzwerke vorgesehen (mal abgesehen von den 10.x.x.x und 172.16.0.0?172.31.255.255).

16.11.06, 00:38	#15 (permalink)
dupLex Registriert seit: 24.02.05 Likes: 0	Ich habe den thread jetzt nur überflogen. könnte es sein, dass du auf deinen win 2003er server einen ftp laufen hast. wenn ja schau mal nach ob du irgendeine einstellung getroffen hast, das von den server zwei ips ausgehen. beim genaueren drüber nachdenken kommt es mir zwar spanisch vor aber ich kanns mir derzeit nicht anders erklären. die 192.168.117 ist definitiv eine IP aus einen privaten netz. ping ihn doch einfach mal an. wäre gespannt was dabei rauskommt. rein theoretisch dürftest du da nämlich keine antwort erhalten. andere möglichkeit. scan mal mit nen anderen ip-scanner. vll ist es nen fehler von superscan.

[HaBo]

IP adresse im LAN, aber von wem?