mir ist aufgefallen das ein paar Geräte mehrmals die Sekunde ein ARP-request im Freifunk Netz broadcasten. Was kann das für einen Hintergrund haben?
Oft ist das ein Nebeneffekt bei Portscans. Mittlerweile haben viele Apps “Suchfunktionen” für bestimmte Server eingebaut, die im Endeffekt nichts anderes machen als Portscans. Ist in kleinen Netzen kein Problem, bei uns zumindest unschön.
Diese sind an anderen Orten auch schon aufgefallen: https://forum.freifunk.net/t/infizierte-samsung-androids-scannen-das-freifunk-netz/14641
Die Deutung ist noch unklar.
In Deinem Capture file aus dem anderen Thread habe ich gesehen, dass ein Samsung-Gerät 140.000 ARPs in 30 Minuten macht. Vor allem dummerweise immer auf denselben Subnetzbereich, also total sinnlos.
Werden diese Broadcasts auch auf dem WLAN übertragen? Müssten sich ja eigentlich, d.h. dieses eine Samsung-Gerät saugt mehrere hundert Telefonakkus leer und frisst gigantisch Airtime.
Haben wir eine Möglichkeit, den betroffenen User zu ermitteln, um rauszubekommen ob es Malware oder sowas ähnliches ist? Dann könnte man in Zukunft viellieicht besser darauf reagieren.
Oder sollten wir einfach diese eine MAC einfach mal abklemmen?
Das scheint eine Samsung Smartphone Malware zu sein. Ich setzte mich mal mit Menschen in Kontakt die das schon gefixt haben.
Heute gelesen: