Was macht diese IP?

[OrangeJuice]

Hallo,

ich habe hier unter Debian 9 Gnome folgende IP die ständig Richtung fritzbox sendet. Habe ich mittels iftop festgestellt.

239.255.255.250

Diese IP sendet auch, wenn die Internetverbindung getrennt wurde. Auch blinkt die LED am LAN-Eingang.

Unter XFCE habe ich das so nicht festgestellt. Was macht diese Verbindung?

[justme2h]

Hallo,

die IP deutet auf UPnP hin.
https://de.wikipedia.org/wiki/Simple_Se ... y_Protocol

Also ein UPnP-fähiges Gerät wird gesucht oder will sich bemerkbar machen. Gibt es in deinem Netzwerk etwas in der Richtung?

[OrangeJuice]

UPnP haben wir nicht. Kann dafür auch eine PCI-Wlankarte verantwortlich sein. Die gehört zum Mainboard und habe ich erst vor kurzem angeschlossen, allerddings im Mainboard deaktiviert.
Vorher habe ich solch eine Verbindung noch nicht gesehen. Bin erst vor kurzem von XFCE zu Gnome gewechselt. Ich baue mal die Wlan-Karte aus und schau ob die Verbindung verschwindet.

[DeletedUserReAsG]

Schau doch mal mit etwa netstat, was denn dafür verantwortlich ist. Hardware selbst baut von sich aus jedenfalls keine Verbindungen auf.

[OrangeJuice]

Netstat habe ich nun installiert, war ja nicht bei Debian vorab installiert. Was gebe ich dann ein, damit mir UPnP angezeigt wird?

[mat6937]

Was gebe ich dann ein, damit mir UPnP angezeigt wird?

Versuch mal mit:

Code: Alles auswählen

netstat -tulpena
tcpdump -c 10 -vvven net 239.0.0.0/8

[OrangeJuice]

Ich habe gestern auf verdacht rygel entfernt. Jetzt kann ich im Moment keine Verbindung 239.255.255.250
mehr sehen. Mir wird ausgegeben:" tcpdump: Kommando nicht gefunden. " Was macht dieses tcpdump?

Netstat gibt folgendes aus.

Code: Alles auswählen

Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           112        14542      536/avahi-daemon: r 
udp        0      0 0.0.0.0:55279           0.0.0.0:*                           112        14544      536/avahi-daemon: r 
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          37006      1815/dhclient       
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           0          20336      1073/minissdpd      
udp6       0      0 :::36149                :::*                                112        14545      536/avahi-daemon: r 
udp6       0      0 :::5353                 :::*                                112        14543      536/avahi-daemon: r 

Mit iftop habe ich nun gesehen, dass folgende Verbindung aufgebaut werden, obwohl ich nur das Internet an habe, aber nichts geöffnet habe. Vielleicht hilft das ja.

ivanova.ganneff.de
224.0.0.251

[DeletedUserReAsG]

Was macht dieses tcpdump?

Code: Alles auswählen

TCPDUMP(1)                   General Commands Manual             TCPDUMP(1)

NAME
       tcpdump - dump traffic on a network
       […]

[justme2h]

Ich habe mal Wireshark gestartet und sehe bei mir ebenfalls solche Verbindungen (Debian 9 Gnome).

Was mich verwirrt ist, dass du meintest von dieser IP wird Richtung Router gesendet. Eigentlich sollte es umgekehrt sein, die IP ist eine Multicast Adresse und daher typischerweise Empfänger. In meinem Netzwerk werden die Verbindungen sowohl von meinem Rechner, als auch vom Router abgeschickt. Das hat mit dem Internet nichts zu tun, das UPnP Gerät wird innerhalb deines Netzwerkes gesucht. Weil es die Verbindungen in XFCE bei dir nicht gab vermute ich einfach mal, dass unter Gnome eine Anwendung/Service läuft, die immer mal wieder nach UPnP Geräten sucht.

Bei mir ist es beispielsweise Google Chrome (zugegeben keine Gnome Software), ich glaube das hat mit Chromecast zu tun. rygel kenne ich jetzt nicht, könnte laut Beschreibung aber auch der Täter sein. In deiner netstat Ausgabe ist minissdpd gelistet, dass hat auch damit zu tun.

[mat6937]

Mir wird ausgegeben:" tcpdump: Kommando nicht gefunden. "

Dann versuch mal:

Code: Alles auswählen

apt-get install tcpdump
tcpdump -c 30 -vvven net 239.0.0.0/8 or port 1900 or net 224.0.0.0/8

[OrangeJuice]

Ich habe mal Wireshark gestartet und sehe bei mir ebenfalls solche Verbindungen (Debian 9 Gnome).

Was mich verwirrt ist, dass du meintest von dieser IP wird Richtung Router gesendet. Eigentlich sollte es umgekehrt sein, die IP ist eine Multicast Adresse und daher typischerweise Empfänger. In meinem Netzwerk werden die Verbindungen sowohl von meinem Rechner, als auch vom Router abgeschickt. Das hat mit dem Internet nichts zu tun, das UPnP Gerät wird innerhalb deines Netzwerkes gesucht. Weil es die Verbindungen in XFCE bei dir nicht gab vermute ich einfach mal, dass unter Gnome eine Anwendung/Service läuft, die immer mal wieder nach UPnP Geräten sucht.

Bei mir ist es beispielsweise Google Chrome (zugegeben keine Gnome Software), ich glaube das hat mit Chromecast zu tun. rygel kenne ich jetzt nicht, könnte laut Beschreibung aber auch der Täter sein. In deiner netstat Ausgabe ist minissdpd gelistet, dass hat auch damit zu tun.

Rygel war bei Gnome dabei. Nachdem ich das Paket entfernt und heute den PC angemacht habe, war die Verbindung nicht mehr da. Screenshot habe ich mir davon leider nicht gemacht.
Aber es ging laut iftop die Verbindung 239.255.255.250 --> fritz.box und tauchte immer mal wieder auf. Jetzt sehe ich nur noch, dass 239.255.255.250 --> 192.168... also zu mir.

Vielleicht habe ich ja auch was falsch gesehen. Könnte rygel ja nochmal installieren und schauen was passiert.

[mat6937]

Aber es ging laut iftop die Verbindung 239.255.255.250 --> fritz.box und tauchte immer mal wieder auf.

Bist Du dir sicher, dass Du die Ausgabe von iftop richtig interpretiert hast? Poste doch mal die Ausgabe von tcpdump.

[OrangeJuice]

Jetzt bin ich mir nicht mehr sicher. Die MAC-Adressen müssen unkenntlich gemacht werden oder?

[BenutzerGa4gooPh]

Egal was von Clients angefordert wird - auf Router abschalten:

Der Bequemlichkeit der automatischen Portkonfiguration gegenüber steht ein Verlust an Sicherheit, denn die Firewall eines UPnP-fähigen Routers kann dadurch von einem eventuell auf den Computer gelangten Schadprogramm unwirksam gemacht werden. Dieser Verlust entsteht aber erst, nachdem ein PC im lokalen Netz mit einer Schadsoftware infiziert ist. Ohne Zugriff auf das LAN ist IGD kein Verlust an Sicherheit. Zu bedenken ist allerdings, dass seit Januar 2008 Schadsoftware bekannt ist, die sich z. B. in Adobe Flash oder JavaScript versteckt und ohne Nutzer-Interaktion auch beim bloßen Besuchen von Webseiten mit einem aktuellen Webbrowser auf dem Rechner ausgeführt werden kann und somit ungebetenen Gästen das Eindringen ins lokale Netzwerk ermöglicht.[1]

Ein weiteres verbreitetes Einsatzfeld ist die Verteilung von Multimediainhalten im lokalen Netzwerk. Dabei werden auf einem PC oder NAS Dateien mittels eines UPnP-MediaServers bereitgestellt. Entsprechende Endgeräte (UPnP-MediaRenderer) können die Inhalte des Servers durchsuchen, filtern, sortieren und natürlich wiedergeben. Welche Formate wiedergegeben werden, hängt dabei vom Endgerät ab. UPnP-MediaRenderer werden bereits seit einigen Jahren von diversen Herstellern angeboten.
Verwundbarkeiten, die 2013 entdeckt wurden

UPnP sollte nur auf Netzwerkschnittstellen für das lokale Netzwerk freigeschaltet und aus dem Internet nicht erreichbar sein. Im Januar 2013 verkündete die Sicherheitsfirma Rapid7 aus Boston, dass sie in einem sechsmonatigen Projekt nach UPnP-Geräten im Internet gesucht habe.[2] Dabei fanden sie 6.900 Produkte von 1.500 Herstellern unter 81 Millionen IP-Adressen, die auf UPnP-Anfragen aus dem Internet antworteten. 80 % der Geräte sind Heim-Router für den Internetzugang, andere Geräte sind Drucker, Webcams und Überwachungskameras. Mit Hilfe des UPnP-Protokolls lassen sich diese Geräte ansprechen bzw. manipulieren.

Darauf antwortete im Februar 2013 das UPnP-Forum mit einer Pressemitteilung[3] und empfahl neuere Versionen der verwendeten UPnP-Stacks; außerdem sollten die Zertifizierungsprogramme dererlei Probleme besser prüfen.

Im Oktober 2016 empfahl das Bundesamt für Sicherheit in der Informationstechnik, die UPnP-Funktion bei Routern zu deaktivieren, um zu verhindern, dass Geräte aus dem Internet der Dinge im Rahmen von Botnets für Denial of Service-Attacken missbraucht werden können.[4]

https://de.wikipedia.org/wiki/Universal_Plug_and_Play#

Clients danach "sedieren".

[mat6937]

Die MAC-Adressen müssen unkenntlich gemacht werden oder?

Ja, die kannst Du unkenntlich machen.

EDIT:

... oder "-vvve" weglassen:

Code: Alles auswählen

tcpdump -c 30 -n net 239.0.0.0/8 or port 1900 or net 224.0.0.0/8

[BenutzerGa4gooPh]

Die MAC-Adressen müssen unkenntlich gemacht werden oder?

Nur lokal interessant. Durch Router eh geändert. M. E. Missbrauch von remote nahezu unmöglich.

[OrangeJuice]

Code: Alles auswählen

tcpdump -c 30 -vvven net 239.0.0.0/8 or port 1900 or net 224.0.0.0/8
tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:46:23.054085 XX:XX:XX:XX > 01:XX:XX:XX:XX, ethertype IPv4 (0x0800), length 165: (tos 0x0, ttl 4, id 31820, offset 0, flags [none], proto UDP (17), length 151)
    192.168.178.1.45520 > 239.255.255.250.1900: [udp sum ok] UDP, length 123
13:46:28.054088 e0:XX:XX:XX:XX > XX:XX:XX:XX:fa, ethertype IPv4 (0x0800), length 165: (tos 0x0, ttl 4, id 32152, offset 0, flags [none], proto UDP (17), length 151)
    192.168.178.1.45520 > 239.255.255.250.1900: [udp sum ok] UDP, length 123
13:46:33.053988 e0:XX:XX:XX:XX > XX:XX:XX:XX:fa, ethertype IPv4 (0x0800), length 165: (tos 0x0, ttl 4, id 32155, offset 0, flags [none], proto UDP (17), length 151)
    192.168.178.1.45520 > 239.255.255.250.1900: [udp sum ok] UDP, length 123
13:46:45.432214 70:XX:XX:XX:XX > XX:XX:XX:XX:fb, ethertype IPv4 (0x0800), length 160: (tos 0x0, ttl 255, id 59368, offset 0, flags [DF], proto UDP (17), length 146)
    192.168.178.38.5353 > 224.0.0.251.5353: [bad udp cksum 0x545a -> 0xe263!] 0 [7q] PTR (QM)? _nfs._tcp.local. PTR (QM)? _ftp._tcp.local. PTR (QM)? _webdav._tcp.local. PTR (QM)? _webdavs._tcp.local. PTR (QM)? _sftp-ssh._tcp.local. PTR (QM)? _smb._tcp.local. PTR (QM)? _afpovertcp._tcp.local. (118)
13:47:18.918394 e0:XX:XX:XX:XX > 01:XX:XX:XX:XX, ethertype IPv4 (0x0800), length 60: (tos 0xc0, ttl 1, id 15117, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
    192.168.178.1 > 224.0.0.1: igmp query v3
5 packets captured
5 packets received by filter
0 packets dropped by kernel

Code: Alles auswählen

tcpdump -c 30 -n net 239.0.0.0/8 or port 1900 or net 224.0.0.0/8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:22:31.046479 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
14:22:36.046295 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
14:22:41.046276 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
14:22:43.911344 IP 192.168.178.1 > 224.0.0.1: igmp query v3
14:22:46.046354 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
14:22:51.046343 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
6 packets captured
6 packets received by filter
0 packets dropped by kernel

So ist es hoffentlich okay.

[mat6937]

Code: Alles auswählen

tcpdump -c 30 -n net 239.0.0.0/8 or port 1900 or net 224.0.0.0/8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:22:31.046479 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
14:22:36.046295 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123
14:22:41.046276 IP 192.168.178.1.45520 > 239.255.255.250.1900: UDP, length 123

Wie bereits vermutet, die Pakete kommen _vom_ Router.

[OrangeJuice]

Mit rygel schaut das bei iftop so aus.

Code: Alles auswählen

239.255.255.250                => fritz.box                          0b      0b      0b
                               <=                                    0b    242b    242b

UPnP ist in der Fritzbox eigentlich deaktiviert. Danke für eure Antworten.

[mat6937]

Mit rygel schaut das bei iftop so aus.

Code: Alles auswählen

239.255.255.250                => fritz.box                          0b      0b      0b
                               <=                                    0b    242b    242b

Ja, das sieht man auch, dass der Traffic (242b) von der FB kommt.

UPnP ist in der Fritzbox eigentlich deaktiviert.

Ja, deaktiviert im WEB-IF der FB, aber das interessiert die FB nicht.

[BenutzerGa4gooPh]

UPnP ist in der Fritzbox eigentlich deaktiviert.

Ja, deaktiviert im WEB-IF der FB, aber das interessiert die FB nicht.

Gibt es in der FB einen aktiven Mediaplayer? Wenn ja, versuchsweise deaktivieren.

UPnP nur im LAN ist harmlos. Aber wie WAN mit xDSL sniffen? Eigentlich müsste doch die FB einen LAN-Port haben, der sich zu WAN umkonfigurieren und so per PC mit aktivem DHCP-Server sniffen (wireshark und nmap/zenmap) lässt. Ist trotzdem nicht ganz die endgültig aktive Konfiguration mit xDSL/PPPoE. Aber ein Anhaltspunkt/Beruhingungspille.

[mat6937]

Gibt es in der FB einen aktiven Mediaplayer? Wenn ja, versuchsweise deaktivieren.

Nein, nur einen Mediaserver. Aber btw., in der (nichtmodifizierten) (Zwangs-)FB ist alles was UPnP betr. deaktiviert und trotzdem sendet die FB per v4 und per v6 diese UPnP-Pakete.

Ich habe damit kein Problem, denn meine Clients an der FB ignorieren diese UPnP-Pakete.

[BenutzerGa4gooPh]

Nein, nur einen Mediaserver.

Meinte ich auch.

... alles was UPnP betr. deaktiviert und trotzdem sendet die FB per v4 und per v6 diese UPnP-Pakete.

Würde die Beschaffung eines Routers in Erwägung ziehen. Wechduck.

[mat6937]

Würde die Beschaffung eines Routers in Erwägung ziehen. ...

Nein, denn wie bereits schon geschrieben, habe ich damit kein Problem.