Comment identifier à partir d'un ordinateur Windows le périphérique sans fil qui empoisonne le routeur?


24

Je vis dans une maison avec diverses autres personnes qui jurent toutes qu'il n'y a rien de mal à aucun de leurs appareils. Le problème est que lorsque le sans fil est activé sur le routeur, les roquettes du ciel et les performances Internet globales tombent de la surface de la terre. Dès que je désactive le sans fil et n'autorise l'accès de mon PC à Internet, il fonctionne à nouveau parfaitement.

Je suppose qu'il y aura un appareil à l'origine du problème, mais je n'ai aucun moyen de l'identifier car les autres utilisateurs ne sont pas assez coopératifs. Voici une image ci-dessous montrant ce qui se passe avec le ping avec la connexion sans fil activée, désactivée, puis réactivée.

Haut - WiFi activé, Moyen - WiFi désactivé, Bas - WiFi activé.

Existe-t-il un moyen simple d'identifier le problème dans une situation comme celle-ci?

Merci.


Nous avons besoin de plus d'informations: la ipconfigsortie (pour votre carte Ethernet et sans fil) serait utile, ou au moins votre configuration de passerelle (AKA comme IP LAN locale du routeur). Vous pouvez simplement le copier-coller, pas besoin d'images.
Sopalajo de Arrierez

Il pourrait être utile, lors de l'enquête sur l'intoxication ARP, de connaître la sortie de arp -a, au moins pour la valeur de votre passerelle par défaut (probablement votre routeur).
Sopalajo de Arrierez

3
Eh bien ... 6 appareils au moins sur votre LAN. Si ce que vous soupçonnez est un empoisonnement ARP pour le WiFi, vérifiez si la table ARP change la Physical Addressvaleur (au moins la valeur de votre routeur: 192.168.0.1) après 1-2 minutes de passage en mode WiFi.
Sopalajo de Arrierez

1
De la question, il semble que vos performances Internet se dégradent. À moins que les performances de votre réseau interne ne soient trop mauvaises (ping sur le routeur, accédez à sa console d'administration), vous devriez considérer le plus simple des problèmes: quelqu'un fait un téléchargement gros cul ou utilise torrent.
NothingsImpossible

2
Cette question ne semble pas du tout mentionner l'empoisonnement ARP. L'empoisonnement pourrait être utilisé de manière tout à fait familière ici. Je ne sais pas pourquoi les gens pensent si vite que vous pensez que c'est une chose ARP.
Cruncher

Réponses:


30

Pouvez-vous (temporairement) activer le filtrage MAC sur le Wifi?

Avec cela, vous devriez pouvoir mettre sur liste blanche un MAC à la fois et voir lequel est le coupable.

Pour ce que ça vaut, je soupçonne que quelqu'un exécute BitTorrent ou quelque chose de similaire.


Merci pour la suggestion, actuellement en train de regarder le sans fil pour voir les appareils lorsqu'ils se connectent et cingler lors d'un changement Cela semble presque se produire sans aucune raison.
Declan Greally du

@DeclanGreally Avez-vous considéré que votre routeur est sous-alimenté? De quelle marque / modèle s'agit-il? Quel firmware exécute-t-il?
moswald le

1
Cela ne se produira probablement pas immédiatement après l'activation d'un appareil, mais plutôt après plusieurs minutes ou une heure environ, lorsque quelque faux logiciel démarrera.
Daniel R Hicks

1
+1 pour avoir soupçonné une ou plusieurs personnes d'utiliser BitTorrent. Les chances sont si elles ne sont pas que ils ont technophile aucune limite sur les connexions et cela certainement ajouter une charge importante au routeur.
Smalltown2k

22

Même lorsque (certaines des) autres réponses sont plus pratiques pour trouver votre problème, tant que la question d'origine demande quelque chose comme "Comment trouver et l'empoisonnement ARP en cours?", Je vais donner une application facile dans un méthode en quelques étapes pour détecter l'intoxication ARP valide pour toute version de Windows extraite d'une méthode générique (non WiFi), plus rapide et plus simple ici :

Si vous pensez que l' intoxication ARP ne se produit que pour le WiFi, la première méthode habituelle consiste à vérifier si votre table ARP modifie la valeur de l'adresse physique (au moins la valeur de votre routeur, par exemple: 192.168.0.1) après 1-2 minutes de commutation au mode WiFi du mode réseau câblé.

Essayez ces étapes:

1.- Passez au scénario sans empoisonnement : désactivez le WiFi dans votre routeur.
2.- Ouvrez Shell en tant qu'administrateur :

cmd

3.- Vérifier le tableau ARP:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-24-a5-0e-a8-42   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

4.- Passez au scénario d' empoisonnement possible : activez le WiFi dans votre routeur.
5.- Vider le cache ARP (shell administrateur requis):

arp -d -a

6.- Attendez 1-2 minutes (pour vous assurer que le trafic réseau a commencé l'empoisonnement).
7.- Vérifiez à nouveau le tableau ARP:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

Comparez avec l'autre. Si l'adresse physique (AKA en tant que MAC) de votre routeur a changé, alors vous avez un empoisonnement ARP dans la scène.
Pour savoir qui envoie la recherche d' empoisonnement pour les doublons dans le reste de la table ARP (dans l'exemple ci-dessus, 192.168.0.107 est l'empoisonneur). Explication: le dispositif d'empoisonnement ARP indique à tout le réseau (LAN) quelque chose comme "Je suis le routeur maintenant".


Comment saviez-vous que 107 était l'empoisonneur? De la capture d'écran ci-dessus, tout est le même, sauf pour l'adresse MAC du routeur. Merci d'avance pour m'expliquer.
Classé le

3
Il semble que l'adresse MAC du routeur dans la table finale soit la même que 107.
sWW

@Classified, sWW a raison: lors de la vérification ARP pendant le WiFi ON, le routeur a la même MAC Address(adresse physique) que l'IP 192.168.0.107, et cela est complètement impossible, donc un empoisonnement ARP rend tout l'ordinateur du LAN à envoyer leur trafic Internet au 192.168.0.107, au lieu du véritable 192.168.0.1. Le processus est un peu plus long à expliquer, mais vous pouvez dire que l'empoisonneur est à IP 192.168.0.107.
Sopalajo de Arrierez

@SopalajodeArrierez et sWW, merci pour l'explication. Je suis tellement aveugle que je ne vois pas que l'adresse MAC est la même pour les deux.
Classé le

12

Une façon de résoudre le problème consiste à éteindre chaque périphérique séquentiellement jusqu'à ce que le problème soit résolu. Dès que votre taux de ping baisse à un niveau acceptable, vous avez trouvé votre coupable.

Vous pouvez également activer le filtrage MAC et ajouter chaque périphérique un par un comme alternative à la désactivation des périphériques. Cela les bloquerait essentiellement un par un. Encore une fois, dès que les niveaux tombent à la normale, vous avez trouvé le porc de ressources.


Merci pour la suggestion, actuellement en train de regarder le sans fil pour voir les appareils lorsqu'ils se connectent et cingler lors d'un changement
Declan Greally du

7

Question idiote, mais avez-vous exclu toute interférence? Y a-t-il des appareils 2,4 GHz dans la région, comme un téléphone sans fil ou un micro-ondes?

Le problème se produit lorsque la connexion sans fil est activée, ce qui pourrait provoquer des interférences radio. Vous pouvez déplacer le routeur vers une autre prise ou une autre pièce, par exemple. Une chose qui a fonctionné pour moi dans le passé est de changer de canal sur le routeur.

Vous pouvez également mettre à niveau le firmware du routeur (si cela est possible) vers DD-WRT et voir si vous voyez des changements. Vous pouvez également augmenter la puissance du signal de cette façon.

Je sais que ce n'est pas aussi cool qu'un empoisonnement aux arpes, mais cela vaut la peine d'être étudié.


D'accord, @Tensigh. Je suggère NirSoft WirelesNetView nirsoft.net/utils/wireless_network_view.html pour la recherche de canaux dans Windows ou InSSIDer dans Android metageek.net/products/inssider
Sopalajo de Arrierez

Je suis connecté via une connexion filaire à tout moment. C'est lorsque j'active le signal sans fil sur le routeur que je constate une dégradation des performances sur l'ensemble du réseau.
Declan Greally du

@DeclanGreally, je vois. Mais si vos colocataires se connectent sans fil, l'un de ces appareils pourrait provoquer des interférences. Même s'ils ne se connectent pas réellement au WLAN, leurs iPhones peuvent rechercher des WLAN et essayer de se connecter. Semble étrange que cela causerait un tel pic, mais le routeur sans fil partagera la bande passante avec d'autres appareils, y compris les connexions câblées.
Tensigh

1

Vous pouvez vérifier quels canaux sont utilisés par vous-même et vos voisins. Personnellement, j'utilise WiFi Analyzer sur Android pour cela.

Un canal WiFi a une bande passante de +/- 3 canaux. Un routeur configuré pour utiliser le canal 6 affectera et dérangera les canaux 3 à 9. En pratique, cela signifie que seuls les canaux 1, 6 et 11 sont utilisables dans une zone encombrée si vous ne voulez pas vous déranger. Si les routeurs sont configurés pour utiliser le même canal, il n'y aura pas de perturbations puisque le protocole WiFi résoudra cela et permettra aux routeurs de partager la bande passante disponible sans heurts ni retransmissions.

Donc, si vous utilisez le canal 6 et que votre voisin utilise le canal 3,4,5,7,8 ou 9, vous avez des problèmes. Votre voisin dérangera votre routeur. Puisqu'ils utilisent différents canaux, ils ne peuvent pas se comprendre et ne peuvent donc pas résoudre le partage. Les perturbations entraîneront des retransmissions massives qui à leur tour perturberont votre routeur voisin qui, à son tour, retransmettra .... vous obtenez l'image? Ce serait beaucoup mieux si votre voisin passait au canal 6.

Pourquoi y a-t-il des chaînes 2,3,4,5,7,8,9,10 disponibles si vous n'êtes pas censé les utiliser? Je ne sais pas vraiment, mais cela peut être une raison historique car la surpopulation du WiFi d'aujourd'hui n'était pas prévue et la gamme de canaux était là pour les fréquences de réglage fin disponibles pour éviter les perturbations des fours à micro-ondes et similaires.


0

Comme BowlesCR, je soupçonne que vous avez un utilisateur qui est soit un porc de bande passante, soit qui a une infection virale sur son appareil.

Pas de moyen facile de diagnostiquer à moins que vous ayez un routeur avec des capacités de surveillance autres que la liste noire / liste blanche sélective.


0

Le problème est probablement dû à quelqu'un sur votre réseau qui télécharge trop de trafic car il y a beaucoup moins de capacité disponible en amont (qui, comme mentionné, est probablement un client BitTorrent qui a été configuré pour s'exécuter minimisé au démarrage comme uTorrent, etc.). Il est possible que cela soit dû au téléchargement, mais ce serait probablement plus évident comme si les gens regardaient des vidéos en streaming.

Une autre approche consiste à utiliser quelque chose comme ettercap que vous pouvez utiliser pour effectuer un ARP poison contrôlé sur votre réseau. Cela vous permettrait de renifler le trafic (en utilisant le reniflement unifié, etc.) et de découvrir qui envoie trop de données. Il y a un tutoriel raisonnable ici . De plus, si vous rencontrez des problèmes avec la conformité des utilisateurs, Ettercap vous permet de désactiver sélectivement la connexion d'une machine en empoisonnant leur table ARP afin que leur trafic n'atteigne pas le routeur.


0

Avez-vous des paramètres de sécurité sur votre routeur? Filtrage IP, etc.? Si possible, essayez de les désactiver pendant un certain temps et exécutez à nouveau un ping. Cela peut parfois entraîner de mauvaises performances dans les routeurs et provoquer des pings élevés.


-1

le nouvel iphone5, par exemple, plante les anciens réseaux WLAN lorsqu'il est actif. essayez de désactiver 5 GHz dans votre routeur et utilisez uniquement 2 GHz.


6
avez-vous des sources crédibles pour prouver cette affirmation?
Sickest
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.