unbekannte MAC Adressen am DHCP schon 2007, eine Idee heute: Training PDU

[beckermann]

Hallo.

Am DHCP Server meines WLAN Routers bekam ich folgende MAC-IDs angezeigt:
E9:EB:B3:A6:db:3C
4D:C8:43:BB:8B:A6
45:3B:13:0D:89:0A

Sie bekamen im internen Netzwerk bei mir eine IP-Adresse verteilt. Seltsam ist nur, dass mir diese 3 Geräte absolut unbekannt sind. Neue Geräte sind keine hinzugekommen, Gäste waren keine hier.

Google Suche zu dem Thema brachte Treffer schon aus dem Jahr 2007 (auch hier bei Computerbase).
Genau diese drei MAC-IDs tauchen auch bei anderen Leuten auf.

Weitere Suchen zu den Adressen brachten mich auf eine Seite von Microsoft:
https://msdn.microsoft.com/en-us/library/cc241048.aspx
"The following is an annotated dump of a Training PDU."

Auszug von dieser Seite:
00000000 06 23 fc 03 da 89 00 04 52 90 49 f1 f1 bb e9 eb .#......R.I.....
00000010 b3 a6 db 3c 87 0c 3e 99 24 5e 0d 1c 06 b7 47 de ...<..>.$^....G.
00000020 b3 12 4d c8 43 bb 8b a6 1f 03 5a 7d 09 38 25 1f ..M.C.....Z}.8%.
00000030 5d d4 cb fc 96 f5 45 3b 13 0d 89 0a 1c db ae 32 ].....E;.......2


Meine "MAC-IDs", die mir mein DHCP Server als angebliche MAC-IDs anzeigt, könnten etwas ganz, ganz anderes sein.
Wenn man diese Zeilen genau betrachtet, findet sich nach 14 Blöcken, am Ende der ersten Zeile die Folge e9 eb
In der nächsten Zeile geht es weiter mit b3 a6 db 3c.
So ein Zufall, das ist genau meine erste fragliche MAC-ID: E9:EB:B3:A6:db:3C

Weitere 14 Blöcle später, zu Beginn von der dritten Zeile steht die Zeichenfolge 4d c8 43 bb 8b a6.
Das entspricht der zweiten "MAC-ID" an meinem DHCP. 4D:C8:43:BB:8B:A6

Wieder 14 Blöcle später dann in der vierten Zeile 45 3b 13 0d 89 0a
Das ist die dritte meiner Phantom-MAC-IDs: 45:3B:13:0D:89:0A

Da drängt sich mir der Verdacht auf, dass irgendein lokales Microsoft-Produkt etwas im LAN aussendet, und dies dann fälschlicherweise vom Router als DHCP-Anfrage missverstanden wird.

Kann mir bitte jemand kurz erklären, was eine "Training PDU (SNDTRAINING)" in etwa ist?
Die Seite von Microsoft ist mir zu sehr technisches Englisch:
https://msdn.microsoft.com/en-us/library/cc240961.aspx


Gruß
becki

 

[miac]

Welche Betriebssysteme sind am Netz?
Eventuell ein MS Server, eventuell 2003?

 

[beckermann]

Danke für die Antwort.

Ja, vorgestern habe ich aus völlig anderen Gründen einen 2003 Server neu aufgesetzt.
Dann fiel mir unabhängig davon das Auftauchen fremder MAC-IDs auf.

Die Tatsache, dass es ein Microsoft-Produkt sein müsste, habe ich in meinen Ermittlungen schon erkannt.

Microsoft spricht selbst darüber, siehe mein Posting.
Meine Frage bezog sich darauf, was genau das "Training PDU (SNDTRAINING)" sein könnte, von dem Microsoft auf seiner Webseite
hier https://msdn.microsoft.com/en-us/library/cc241048.aspx und hier https://msdn.microsoft.com/en-us/library/cc240961.aspx spricht.

Kann mir bitte jemand einen Wink geben, was mit diesem Begriff gemeint ist?

Gruß
becki

 

[miac]

Ausgelöst werden die Anfragen wohl vom Serverkonfigurationstool für das Management der Serverrollen. Offenbar werden Telemetriedaten gesammelt. Warum MS dazu eigene MAC Adressen verwendet, da muß Du MS fragen.

 

[beckermann]

Danke für die Antworten.

Fürs Archiv: Entwarnung an alle, die diese MAC-IDs auch mal bekommen.
Zusammenfassend kann ich sagen:
Diese MAC-IDs sind kein Angriff durch Hacker. Die MAC-IDs erscheinen über die Jahre einfach bei zu vielen Personen, wie eine Google-Suche ergibt.
Wenn diese MAC-IDs zu einer Art "Hacking-Gerät" gehören würden, wäre das inzwischen besser bekannt (Treffer aus dem Jahr 2007, manche noch älter). Ferner wäre ein "Hacking-Gerät" nicht so blöd, ständig die gleichen 3 MAC-IDs für Angriffe zu nutzen.

Wie ich schon feststellte und wie bestätigt wurde, gehören diese MAC-IDs zu einem Microsoft-Dienst, der im eigenen LAN, im eigenen Netzwerk läuft. Was dieser Dienst genau macht, sei mal dahingestellt. Ob es überhaupt geplant war, dass dieser Dienst MAC-IDs "nutzt", ist auch nicht klar. Vielleicht ist es auch so, wie ich vermutete: irgendein lokales Microsoft-Produkt sendet etwas ins LAN, und dies dann fälschlicherweise vom Router als DHCP-Anfrage missverstanden wird.
Ein User hier im Thread tippte richtig auf Windows Server 2003. Dies war bei mir der Fall.
Eine andere Stelle im Internet spricht von einem Dienst in Windows 7 für SCSI Geräte.
Wie dem auch sei.
Höchst wahrscheinlich ist der "Angriff" beim Leser gar kein Angriff - sofern Hacker jetzt nicht genau diese MAC-IDs nutzen...

Bedenkenswert ist hierbei nur die Tatsache (und dies hier ist ja der Beweis dafür), dass es scheinbar recht leicht möglich ist, irgendwelche MAC-IDs zu simulieren, zu fälschen. So könnte herausgefunden werden, welche MAC-IDs vom Router "zugelassen" sind. Das ist aber ein ganz, ganz anderes Thema.

Gruß
becki

 

[Raijin]

Bedenkenswert ist hierbei nur die Tatsache (und dies hier ist ja der Beweis dafür), dass es scheinbar recht leicht möglich ist, irgendwelche MAC-IDs zu simulieren, zu fälschen. So könnte herausgefunden werden, welche MAC-IDs vom Router "zugelassen" sind. Das ist aber ein ganz, ganz anderes Thema.

Das ist ja nu nicht wirklich neu. Schau mal in den Adaptereinstellungen deiner Netzwerkkarte nach. In der Regel kann man das direkt im Treiber selbst einstellen. 30 Sekunden googlen und man hat sich jede nur erdenkliche MAC eingestellt. Dazu werden weder spezielle Tools noch sonstige Kunststücke benötigt, einfach mit Windows-Bordmitteln.

Das ist der Grund warum MAC-Filter im WLAN vollkommen unwirksam sind. Die einzigen, die das am Zugang hindert, sind berechtigte Nutzer, die der Admin noch nicht freigegeben hat. Für beide Seiten (Nutzer und Admin) recht viel Aufwand für keinerlei Sicherheitsgewinn. Ein potentieller Angreifer muss grundsätzlich keinerlei KnowHow haben, um das zu umgehen. 30 Sekunden google, ein (W)LAN-Sniffer (frei erhältlich, da nicht per Definition böse) und eine Weile Traffic aufzeichnen - zack hat man x gültige MACs und der MAC-Filter ist ausgehebelt.

Der Sicherheitseffekt ist vergleichbar mit einem Streifen Tesa vor dem Türschloss.