Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: kosta on August 06, 2023, 08:23:47 PM

Title: "Geister IP" im Live Log
Post by: kosta on August 06, 2023, 08:23:47 PM
Hallo zusammen,

hier noch ein Issue.
Ich konfiguriere meine Rules neu, und konnte heute was seltsames feststellen:
Ca. jede 5sek wird ein Paket von einer nicht existierenden Adresse geblockt, und zwar an meiner Final Block Rule.
Wobei hier paar seltsame Sachen zu beobachten sind:
1) Der Subnet der IP-Adresse weicht vom Subnet des Interfaces
2) Die IP bzw. der Subnet war früher ein VLAN, bei der Neukonfiguration der Firewall wurden aber neue VLANs (auch damit neue Subnets) erstellt.
3) Erstellung Rules auf dem Interface die alles erlauben bringen nichts, die Pakete im Live Log kommen trotzdem
4) Ausgehender Port ist 3999, was nach der Analyse in Verbindung mit einem Trojaner gebracht wurde, da wurde ich schnell hellhörig

Ich habe für die Analyse absolut alles abgedreht, Server heruntergefahren, WLAN abgeschaltet. Einzig was ich nicht gemacht habe ist alle 26 Kabel am Switch gezogen. Und wegen dem Problem im anderen Thread, konnte ich ohne Switch nicht testen.

Und nachdem es Pakete auch erscheinen wenn ich die Erlaube-All-Rules erstelle, denke ich dass es an der OPNsense liegt.

Screenshot im Anhang von einem Paket, denke nicht dass das viel bringt.

Idee was das sein könnte?

Danke
Srdan
Title: Re: "Geister IP" im Live Log
Post by: Patrick M. Hausen on August 06, 2023, 08:30:44 PM
tcpdump -e auf dem Interface, damit kriegst du die beteiligten MAC-Adressen raus, mit den ersten 3 Bytes der Source-MAC lässt sich der Hersteller herausfinden.
Title: Re: "Geister IP" im Live Log
Post by: kosta on August 06, 2023, 09:17:26 PM
Hi,
hilft leider nur bedingt:
21:09:31.940692 9c:65:f9:38:6e:d1 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 114: 192.168.100.1.43627 > 192.168.100.255.3999: UDP, length 72
21:09:31.940842 00:06:78:26:25:78 (oui Unknown) > 00:1b:21:da:fe:fc (oui DCBX), ethertype IPv4 (0x0800), length 114: 192.168.100.1.43627 > 192.168.100.255.3999: UDP, length 72

9c:65:f9:38:6e:d1 -> D&M Holdings Inc. - weiß leider nicht was das sein soll.

Eine kleine Korrektur allerdings:
Ein erlaube Alles Rule, der NICHT auf LAN net begrenzt wirkt sich auf die Pakete doch aus, und sie werden durchgelassen (erscheinen nicht mehr im Log unter geblockte).
Title: Re: "Geister IP" im Live Log
Post by: Patrick M. Hausen on August 06, 2023, 09:28:57 PM
Tja, das ist Broadcast, deshalb taucht das auf der OPNsense auf, auch wenn die Adresse gar nicht zum Netz passt. Du hast da irgendein Gerät mit einer veralteten IP-Adresse und das posaunt da eben in der Gegend rum.

Wer sucht, der findet ;-)
Title: Re: "Geister IP" im Live Log
Post by: kosta on August 06, 2023, 09:56:11 PM
Vielen lieben Dank - soeben gefunden und das Problem gelöst!
Text only | Text with Images