ARP cache poisoning

[urbys]

Nazdar, dnes jsem utahanej přišel z práce a poslední co chci řešit je tohle. Na PC doma chodí 4 lidi a někdo šel pravděpodobně na nějakou pochybnou stránku.

stolní PC a notebook -eset mi dnes začal vypisovat tuto zprávu

http://i2.minus.com/jpT8nTs1NHuRO.jpg

Což o to, vygooglil jsem si že to může bejt planej poplach a možná to dělá router.
Ale mě (po tom co mi to eset napíše) vypadne na minutu až 5 internet. Což neni moc pohodlný, když se hláška ukazuje každých 10 minut (v tom lepším případě).

Používám doma router edimax BR-6226n
Na router je napíchlej lanem PC + skrz wifi notebook a 4-5 androidů
Četl jsem že by to mohla dělat i tiskárna, ta ale neni připojená skrz router. Ale jde klasicky do PC a až z něj jde skrz lan kabel do routeru.

Nějaké nápady ?

[DOC_ZENITH]

Eh, můžeš mít vir kterej se ti před Eset do PC dostal a on jen periodicky detekuje jeho vedlejší aktivitu. Žádnej antivir neni zdaleka 100%, ve skutečnosti maj na viry co nejsou staré zhruba jen 60%.

A nebo to může bejt skutečně i v routeru. Jednou se mi povedlo zavirovat DSM routermodem od Zyxelu. Pomohl hard-reset zařízení.

[Omal]

https://servis.eset.cz/index.php?/Knowl ... ning#cache

Toto jsi zkoušel?

Co ta stejná IP adresa v síti? Neblbne ESET kvůli tomu?

[urbys]

dal jsem do vyjímek 192.168.0.1 což je adresa routeru
eset sice přestal psát útoky ale internet se vypínal stejně
dal jsem do vyjimek teda i 192.168.0.103 (v tu chvíli mi internet zrovna nešel a jakmile jsem to potvrdil, hned se připojil) vypadalo to v pohodě ... do 10 sekund zase connection lost a po pul minutě mě to připojilo a začalo se to střídat po cca půl minutách

Chtěl jsem se kouknout do nastavení routeru (192.168.0.1) http://i2.minus.com/iJUekXhxuxjpj.jpg (tohle je můj router)

V tu chvíli opět connection lost a router po mě chtěl vložit opět heslo, dal jsem ho tam ( jmeno:admin heslo:admin.... já vim "so hard" ale stejně je to domácí wifi...)

jde ale o to co se mi objevilo ...http://i7.minus.com/ibiSMz23y96JDw.png dostal jsem se do nastavení úplně jiného routeru
podle časovýho pásma je to hong kong, peking .... nevim http://i2.minus.com/iYKAX1pKzqwhy.png

Tak a ted bych potřeboval pomoct

sice můžu někomu udělat bordel v nastavení routeru (z čehož mám bůh ví proč ohromnou radost ale kdo ví co dělá on na mojim pc )

edit: adresy jsem z vyjímek zase vymazal ale jak jsem zjistil, když mi eset napíše ten útok a internet vypadne tak se i tak dostanu do jeho routeru

edit2:v nastavení jeho routeru jsem našel moje kompletní nastavení routeru (ssid,šifrování,heslo)
http://i1.minus.com/ibaM9xanyYsXnW.png

[Omal]

Obávám se, že to je nad moje schopnosti.

Časové pásmo nic neznamená. Mohlo tam zůstat od výroby.

Jinak je to celé divné a s ničím podobným jsem se nesetkal.

Maximálně můžu poradit, abys všechny PC projel nějakým dalším antivirákem. Stáhni si třeba AVG Rescue CD. Sice to nejspíš nepomůže, ale kdyby náhodou...

BTW: Vypoj kabel, kterým jsi připojený do internetu, připoje se počítačem přímo do tvého WiFi routeru a zadej adresu administrativního rozhraní.

Hoď sem výpis arp cache. Napiš do CMD arp -a.

[N_o_c_l_a_f]

Osobne bych projel PC antivirem, stahnul z netu posledni originalni FW routeru, odpojil ho od netu, pote ho preflashoval a znova nastavil ( s nejakym inteligentnim heslem ) - schvalne jestli to bude pokracovat

[urbys]

Tak jsem stáhnul nějnovější firmware a přeflashoval ho, na routeru jsem udělal hard reset, znovu nastavil a všude dal nový hesla. Zatim je to dobrý. Tak uvidíme. Dík

[generix]

zřejmě se některá zařízení připojují do tvé sítě se stejnou IP adresou, je možný že i s IP adresou routeru, proto vypadává net, nepředpokládám, že by někdo v lokální síti dělal arp spoofing útok :]
možná špatně nastavený přiřazování dynamických ip adres na routru