Jak zidentyfikować z komputera z systemem Windows urządzenie bezprzewodowe, które zatruwa router?


24

Mieszkam w domu z różnymi innymi ludźmi, którzy wszyscy przysięgają, że nie ma nic złego w żadnym z ich urządzeń. Problem polega na tym, że kiedy router jest włączony, ping-rakiety i wszechstronna wydajność Internetu spadają na ziemię. Gdy tylko wyłączę sieć bezprzewodową i zezwalam komputerowi na dostęp do Internetu, działa ona znowu idealnie.

Zakładam, że będzie jedno urządzenie, które powoduje problem, ale nie mam możliwości zidentyfikowania go, ponieważ inni użytkownicy są dość niechętni do współpracy. Oto zdjęcie poniżej pokazujące, co dzieje się z pingiem przy włączonym, wyłączonym, a następnie włączonym ponownie łączu bezprzewodowym.

Góra - WiFi włączone, Środek - WiFi wyłączone, Dół - WiFi włączone.

Czy jest jakiś prosty sposób na zidentyfikowanie problemu w takiej sytuacji?

Dzięki.


Potrzebujemy więcej informacji: ipconfigprzydatne byłoby wyjście (zarówno dla karty Ethernet, jak i bezprzewodowej) lub przynajmniej konfiguracja bramy (AKA jako lokalny adres IP routera). Możesz go po prostu wyciąć i wkleić, bez potrzeby tworzenia obrazów.
Sopalajo de Arrierez

Przy badaniu zatruć ARP przydatne może być poznanie wyniku arp -a, przynajmniej dla wartości domyślnej bramy (prawdopodobnie routera).
Sopalajo de Arrierez

3
Cóż ... 6 urządzeń przynajmniej w twojej sieci LAN. Jeśli podejrzewasz, że zatrucie ARP dla Wi-Fi, sprawdź, czy tabela ARP zmienia Physical Addresswartość (przynajmniej wartość routera: 192.168.0.1) po 1-2 minutach przejścia do trybu Wi-Fi.
Sopalajo de Arrierez

1
Z pytania wynika, że wydajność Internetu spada. O ile wydajność Twojej sieci wewnętrznej nie jest zła (pingowanie routera, dostęp do jego konsoli administracyjnej), powinieneś rozważyć najprostszy z problemów: ktoś pobiera duże pliki do pobrania lub używa torrenta.
NothingsImpossible

2
To pytanie w ogóle nie wspomina o zatruciu ARP. Zatrucie można tu zastosować całkowicie potocznie. Nie jestem pewien, dlaczego ludzie tak szybko zakładają, że uważasz, że to sprawa ARP.
Cruncher

Odpowiedzi:


30

Czy możesz (tymczasowo) włączyć filtrowanie MAC w Wi-Fi?

Dzięki temu powinieneś być w stanie umieścić na liście jeden MAC na raz i zobaczyć, który jest winowajcą.

Pod względem wartości podejrzewam, że ktoś używa BitTorrenta lub czegoś podobnego.


Dzięki za sugestię, aktualnie oglądam sieć bezprzewodową, aby zobaczyć urządzenia podczas łączenia się i pingowania po zmianie. Wydaje się, że prawie tak się dzieje bez żadnego powodu.
Declan Greally

@DeclanGreally Czy uważasz, że twój router jest słabo zasilany? Co to za marka / model? Jakie oprogramowanie układowe działa?
moswald

1
Prawdopodobnie nie stanie się to natychmiast po włączeniu urządzenia, a raczej po kilku minutach lub godzinie, kiedy uruchomi się fałszywe oprogramowanie.
Daniel R Hicks,

1
+1 za podejrzenie jednej lub więcej osób korzystających z BitTorrenta. Są szanse, że jeśli nie są tak zaawansowani technicznie, nie mają limitu połączeń, a to z pewnością spowodowałoby znaczne obciążenie routera.
Smalltown2k

22

Nawet jeśli (niektóre z) innych odpowiedzi są bardziej praktyczne, aby znaleźć problem, tak długo, jak pierwotne pytanie wymaga czegoś takiego jak „Jak znaleźć i zatrucie ARP działa?”, Zamierzam dać łatwy do zastosowania w metoda kilku kroków wykrywania zatrucia ARP ważna dla dowolnej wersji systemu Windows wyodrębnionej z ogólnej (innej niż WiFi), szybszej i prostszej metody tutaj :

Jeśli podejrzewasz, że zatrucie ARP ma miejsce tylko w przypadku Wi-Fi, zwykle pierwszą metodą jest sprawdzenie, czy tablica ARP zmienia wartość adresu fizycznego (przynajmniej wartość routera, na przykład: 192.168.0.1) po 1-2 minutach przełączania do trybu WiFi z trybu sieci kablowej.

Spróbuj wykonać następujące kroki:

1. - Przełącz na scenariusz braku zatrucia : Wyłącz WiFi w routerze.
2.- Otwórz Shell jako Administrator :

cmd

3.- Sprawdź tabelę ARP:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-24-a5-0e-a8-42   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

4. - Przejdź do scenariusza zatrucia możliwego: WŁĄCZ WiFi w routerze.
5. - Wyczyść pamięć podręczną ARP (wymagana powłoka administratora):

arp -d -a

6. - Poczekaj 1-2 minuty (aby upewnić się, że ruch sieciowy rozpoczął zatrucie).
7.- Sprawdź ponownie Tabela ARP:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

Porównaj z drugim. Jeśli adres fizyczny routera (AKA jako MAC) zmienił się, oznacza to, że masz trochę zatruć ARP na scenie.
Aby dowiedzieć się, kto wysyła zatrucie, wyszukaj duplikaty w pozostałej części tabeli ARP (w pokazanym powyżej przykładzie 192.168.0.107 jest trucicielem). Objaśnienie: urządzenie zatruwające ARP mówi całej sieci (LAN) coś w stylu „Jestem teraz routerem”.


Skąd wiedziałeś, że 107 był trucicielem? Z powyższego zrzutu ekranu wszystko jest takie samo, z wyjątkiem adresu MAC routera. Z góry dziękuję za wyjaśnienie.
Sklasyfikowane

3
Wygląda na to, że adres MAC routera w końcowej tabeli jest taki sam jak 107.
SWW

@ Sklasyfikowane, sWW ma rację: podczas sprawdzania ARP podczas Wi-Fi WŁĄCZONY router ma ten sam MAC Address(adres fizyczny) co adres IP 192.168.0.107 i jest to całkowicie niemożliwe, więc zatrucie ARP powoduje, że cały komputer w sieci LAN ma wysłać swój ruch internetowy do 192.168.0.107, zamiast do oryginalnego 192.168.0.1. Proces ten jest nieco dłuższy do wyjaśnienia, ale można powiedzieć, że truciciel ma IP 192.168.0.107.
Sopalajo de Arrierez

@SopalajodeArrierez i SW, dziękuję za wyjaśnienie. Jestem tak ślepy, że nie widzę, aby adres MAC był taki sam dla obu.
Sklasyfikowane

12

Jednym ze sposobów rozwiązania tego problemu jest sekwencyjne wyłączanie każdego urządzenia, aż problem zniknie. Gdy tylko wskaźnik ping spadnie do akceptowalnego poziomu, znajdziesz winowajcę.

Możesz także włączyć filtrowanie adresów MAC i dodawać każde urządzenie jeden po drugim, jako alternatywę dla wyłączania urządzeń. To zasadniczo blokowałoby je jeden po drugim. Znów, gdy tylko poziomy spadną do normy, znajdziesz świnię zasobów.


Dzięki za sugestię, aktualnie oglądam sieć bezprzewodową, aby zobaczyć urządzenia podczas łączenia się i pingowania po zmianie.
Declan Greally

7

Głupie pytanie, ale czy wykluczyłeś ingerencję? Czy w okolicy znajdują się jakieś urządzenia 2,4 Ghz, takie jak telefon bezprzewodowy lub kuchenka mikrofalowa?

Problem występuje, gdy bezprzewodowy jest włączony, więc może to być coś powodującego zakłócenia radiowe. Możesz na przykład przenieść router do innego gniazdka lub innego pomieszczenia. Jedną rzeczą, która działała dla mnie w przeszłości, jest zmiana kanałów na routerze.

Możesz także zaktualizować oprogramowanie wewnętrzne routera (jeśli to możliwe) do DD-WRT i sprawdzić, czy zauważysz jakieś zmiany. W ten sposób można również zwiększyć siłę sygnału.

Wiem, że to nie jest tak fajne jak zatrucie arp, ale warto przyjrzeć się temu.


Zgoda, @Tensigh. Sugeruję NirSoft WirelesNetView nirsoft.net/utils/wireless_network_view.html do wyszukiwania kanałów w systemie Windows lub InSSIDer w systemie Android metageek.net/products/inssider
Sopalajo de Arrierez

Przez cały czas jestem połączony przewodowo. Kiedy włączam sygnał bezprzewodowy na routerze, zauważam spadek wydajności w całej sieci.
Declan Greally

@Declan Naprawdę, rozumiem. Ale jeśli współlokatorzy łączą się bezprzewodowo, jedno z tych urządzeń może powodować zakłócenia. Chociaż tak naprawdę nie łączą się z siecią WLAN, ich iPhone'y mogą wyszukiwać sieci WLAN i próbować się połączyć. Wydaje się dziwne, że spowodowałoby to tak duży skok, ale router bezprzewodowy dzieli przepustowość z innymi urządzeniami, w tym połączeniami przewodowymi.
Tensigh,

1

Możesz sprawdzić, jakie kanały są używane przez ciebie i twoich sąsiadów. Osobiście używam do tego WiFi Analyzer na Androidzie.

Kanał WiFi ma przepustowość +/- 3 kanały. Router skonfigurowany do korzystania z kanału 6 będzie faktycznie oddziaływał na kanały od 3 do 9. W praktyce oznacza to, że tylko kanały 1, 6 i 11 są użyteczne w zatłoczonym obszarze, jeśli nie chcesz sobie przeszkadzać. Jeśli routery są skonfigurowane do korzystania z tego samego kanału, nie będzie żadnych zakłóceń, ponieważ protokół WiFi to rozwiąże i umożliwi routerom współdzielenie dostępnej przepustowości bez żadnych kolizji i retransmisji.

Jeśli więc korzystasz z kanału 6, a twój sąsiad korzysta z kanału 3,4,5,7,8 lub 9, masz problemy. Twój sąsiad zakłóci router. Ponieważ używają różnych kanałów, nie mogą się nawzajem zrozumieć, a zatem nie mogą rozwiązać problemu udostępniania. Zakłócenia spowodują masowe retransmisje, które z kolei będą przeszkadzać routerowi sąsiadów, który z kolei będzie retransmitował ... otrzymujesz obraz? Byłoby znacznie lepiej, gdyby twój sąsiad przeszedł na kanał 6.

Dlaczego są dostępne kanały 2,3,4,5,7,8,9,10, jeśli nie chcesz ich używać? Nie wiem tak naprawdę, ale może to być powód historyczny, ponieważ nie przewidywano przeludnienia dzisiejszego Wi-Fi, a zasięg kanałów był dostępny w celu dostrojenia częstotliwości dostrajania, aby uniknąć zakłóceń z kuchenki mikrofalowej i tym podobnych.


0

Podobnie jak BowlesCR, podejrzewam, że masz użytkownika, który jest świnią przepustowości lub ma infekcję wirusową na swoim urządzeniu.

Nie ma łatwego sposobu na zdiagnozowanie, chyba że masz router z funkcjami monitorowania innymi niż selektywnie czarna lista / biała lista.


0

Problem prawdopodobnie sprowadza się do tego, że ktoś w twojej sieci przesyła zbyt duży ruch, ponieważ jest dużo mniej dostępnej przepustowości na starcie (który, jak wspomniano, prawdopodobnie jest jakimś klientem BitTorrent, który został ustawiony tak, aby działał jak najmniej podczas uruchamiania, jak uTorrent itp.). Możliwe, że jest to spowodowane pobieraniem czegoś, ale prawdopodobnie byłoby to bardziej oczywiste, jak ludzie oglądający przesyłane strumieniowo wideo.

Innym podejściem jest użycie czegoś takiego jak ettercap, którego można użyć do kontrolowanego ARP w sieci. Umożliwiłoby to wąchanie ruchu (za pomocą Unified sniffing itp.) I sprawdzenie, kto wysyła za dużo danych. Jest tutaj rozsądny samouczek . Również jeśli masz problemy ze zgodnością użytkownika, Ettercap pozwala selektywnie wyłączyć połączenie maszyny, zatruwając tablicę ARP, aby ich ruch nie dotarł do routera.


0

Czy masz jakieś ustawienia bezpieczeństwa na routerze? Filtrowanie adresów IP itp.? Jeśli to możliwe, spróbuj je wyłączyć na chwilę i ponownie ping. Może to czasami powodować niską wydajność routerów i wysokie pingi.


-1

na przykład nowy iPhone5 powoduje awarię starych sieci WLAN, gdy jest aktywny. spróbuj wyłączyć 5 GHz w routerze i używaj tylko 2 GHz.


6
czy masz jakieś wiarygodne źródła potwierdzające to twierdzenie?
Najgorszy
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.