¿Cómo identificar desde una computadora Windows el dispositivo inalámbrico que está envenenando el enrutador?

24

Vivo en una casa con otras personas que juran que no hay nada de malo en ninguno de sus dispositivos. El problema es que cuando se habilita la conexión inalámbrica en el enrutador, el ping-cohetes y el rendimiento general de Internet caen de la faz de la tierra. Tan pronto como desactive la conexión inalámbrica y solo permita que mi PC acceda a Internet, volverá a funcionar perfectamente.

Supongo que habrá un dispositivo que está causando el problema, pero no tengo forma de identificarlo, ya que otros usuarios no cooperan. Aquí hay una imagen a continuación que muestra lo que sucede con el ping con la conexión inalámbrica activada, luego desactivada y luego nuevamente activada.

Superior: WiFi activado, Medio: WiFi desactivado, Inferior: WiFi activado.

¿Hay alguna manera fácil de identificar el problema en una situación como esta?

Gracias.

Declan Greally
fuente
Necesitamos más información: la ipconfigsalida (tanto para su tarjeta ethernet como inalámbrica) sería útil, o al menos su configuración de puerta de enlace (AKA como la LAN local IP del enrutador). Simplemente puede cortarlo y pegarlo, sin necesidad de imágenes.
Sopalajo de Arrierez
Podría ser útil, al investigar el envenenamiento ARP, conocer la salida de arp -a, al menos, el valor de su puerta de enlace predeterminada (probablemente su enrutador).
Sopalajo de Arrierez
3
Bueno ... 6 dispositivos al menos en tu LAN. Si sospecha que es ARP Poisoning for WiFi, verifique si la tabla ARP cambia el Physical Addressvalor (al menos el valor de su enrutador: 192.168.0.1) después de 1-2 minutos de cambiar al modo WiFi.
Sopalajo de Arrierez
1
De la pregunta parece que su rendimiento en Internet es degradante. A menos que el rendimiento de su red interna también sea malo (haga ping al enrutador, acceda a su consola de administración), debe considerar el problema más simple: alguien está haciendo una descarga enorme o está usando torrent.
Nada
2
Esta pregunta no parece mencionar la intoxicación por ARP en absoluto. El envenenamiento podría usarse completamente coloquialmente aquí. No estoy seguro de por qué las personas son tan rápidas para suponer que piensas que es algo ARP
Cruncher

Respuestas:

30

¿Puedes (temporalmente) habilitar el filtrado MAC en el Wifi?

Con eso, deberías poder incluir en la lista blanca un MAC a la vez y ver cuál es el culpable.

Por lo que vale, sospecharía que alguien está ejecutando BitTorrent o algo similar.

BowlesCR
fuente
Gracias por la sugerencia, actualmente estoy viendo la conexión inalámbrica para ver los dispositivos mientras se conectan y hacer ping a un cambio. Casi parece suceder sin ningún motivo.
Declan Greally
@DeclanGreally ¿Ha considerado que su enrutador tiene poca potencia? ¿Qué marca / modelo es? ¿Qué firmware está ejecutando?
moswald
1
Probablemente no va a suceder inmediatamente después de habilitar un dispositivo, sino después de varios minutos o una hora más o menos, cuando se inicia cualquier software falso.
Daniel R Hicks
1
+1 por sospechar que una o más personas usan BitTorrent. Es probable que si no lo son que conocedores de la tecnología no tienen ningún límite en las conexiones y que sin duda añadir un poco de carga importante para el router.
Smalltown2k
22

Incluso cuando (algunas de) las otras respuestas sean más prácticas para encontrar su problema, siempre y cuando la pregunta original solicite algo como "¿Cómo encontrar y se está ejecutando el envenenamiento por ARP?", Voy a dar una respuesta fácil de aplicar en un Método de pocos pasos para detectar el envenenamiento ARP válido para cualquier versión de Windows extraída de un método genérico (no WiFi), más rápido y más simple aquí :

Si sospecha que el envenenamiento ARP ocurre solo para WiFi, el primer método habitual es verificar si su tabla ARP cambia el valor de la dirección física (al menos el valor de su enrutador, por ejemplo: 192.168.0.1) después de 1-2 minutos de cambio al modo WiFi desde el modo de red de cable.

Intenta estos pasos:

1.- Cambie al escenario sin envenenamiento : apague el WiFi en su enrutador.
2.- Abrir Shell como administrador :

cmd

3.- Verifique la tabla ARP:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-24-a5-0e-a8-42   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

4.- Cambie al escenario de posible envenenamiento : active WiFi en su enrutador.
5.- Borrar ARP Cache (se requiere shell de administrador):

arp -d -a

6.- Espere 1-2 minutos (para asegurarse de que el tráfico de la red haya comenzado el envenenamiento).
7.- Verifique nuevamente la tabla ARP:

c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address    Type
192.168.0.1         00-17-31-3f-d3-a9   dynamical
192.168.0.102       50-e5-49-c5-47-15   dynamical
192.168.0.107       00-17-31-3f-d3-a9   dynamical

Compara con el otro. Si la dirección física (AKA como MAC) de su enrutador ha cambiado, entonces tiene algo de envenenamiento ARP en la escena.
Para saber quién envía el envenenamiento, busque duplicados en el resto de la tabla ARP (en el ejemplo que se muestra arriba, 192.168.0.107 es el envenenador). Explicación: el dispositivo de envenenamiento ARP le dice a toda la red (LAN) algo como "Ahora soy el enrutador".

Sopalajo de Arrierez
fuente
¿Cómo sabías que 107 era el envenenador? De la captura de pantalla anterior, todo es igual excepto el direccionador MAC del enrutador. Gracias de antemano por explicarme.
Clasificado el
3
Parece que la dirección MAC del enrutador en la tabla final es la misma que la 107.
sWW
@Classified, sWW tiene razón: en la verificación ARP durante WiFi ON, el enrutador tiene la misma MAC Address(Dirección física) que la 192.168.0.107 IP, y eso es completamente imposible, por lo que un envenenamiento ARP está haciendo que toda la computadora en la LAN envían su tráfico de internet a 192.168.0.107, en lugar de al genuino 192.168.0.1. El proceso es un poco más largo de explicar, pero se puede decir que el envenenador está en IP 192.168.0.107.
Sopalajo de Arrierez
@SopalajodeArrierez y sWW, gracias por la explicación. Estoy tan ciego que no veo que la dirección MAC sea la misma para ambos.
Clasificado el
12

Una forma de solucionar el problema es apagar cada dispositivo secuencialmente hasta que el problema desaparezca. Tan pronto como su tasa de ping baje a un nivel aceptable, habrá encontrado a su culpable.

También puede activar el filtrado MAC y agregar cada dispositivo uno por uno como alternativa a apagar los dispositivos. Esto esencialmente los bloquearía uno por uno. Una vez más, tan pronto como los niveles caen a la normalidad, has encontrado el recurso cerdo.

Moisés
fuente
Gracias por la sugerencia, actualmente estoy viendo la conexión inalámbrica para ver los dispositivos mientras se conectan y hacer ping a un cambio.
Declan Greally
7

Pregunta tonta, pero ¿ha descartado la interferencia? ¿Hay dispositivos de 2,4 Ghz en el área, como un teléfono inalámbrico o un microondas?

El problema ocurre cuando la conexión inalámbrica está activada, por lo que podría ser algo que causa interferencia de radio. Podría mover el enrutador a otro tomacorriente u otra habitación, por ejemplo. Una cosa que me funcionó en el pasado es cambiar los canales en el enrutador.

También puede actualizar el firmware del enrutador (si es posible) a DD-WRT y ver si ve algún cambio. También puede aumentar la intensidad de la señal de esa manera.

Sé que esto no es tan bueno como el envenenamiento por arpa, pero vale la pena investigarlo.

Tensigh
fuente
De acuerdo, @Tensigh. Sugiero NirSoft WirelesNetView nirsoft.net/utils/wireless_network_view.html para la búsqueda de canales en Windows o InSSIDer en Android metageek.net/products/inssider
Sopalajo de Arrierez
Estoy conectado a través de una conexión por cable en todo momento. Cuando habilito la señal inalámbrica en el enrutador, noto que el rendimiento se degrada en toda la red.
Declan Greally
@DeclanGreally, ya veo. Pero si sus compañeros de cuarto se conectan de forma inalámbrica, uno de esos dispositivos podría haber causado la interferencia. Aunque en realidad no se conectan a la WLAN, sus iPhones podrían estar buscando WLAN y tratando de conectarse. Parece extraño que causaría este gran aumento, pero el enrutador inalámbrico compartirá el ancho de banda con otros dispositivos, incluidas las conexiones por cable.
Tensigh
1

Puede verificar qué canales utiliza usted y sus vecinos. Personalmente uso WiFi Analyzer en Android para esto.

Un canal WiFi tiene un ancho de banda de +/- 3 canales. Un enrutador configurado para usar el canal 6 realmente afectará y perturbará los canales 3 a 9. En la práctica, esto significa que solo los canales 1, 6 y 11 se pueden usar en un área abarrotada si no desea molestarse entre sí. Si los enrutadores están configurados para usar el mismo canal, no habrá perturbaciones ya que el protocolo WiFi resolverá esto y permitirá que los enrutadores compartan el ancho de banda disponible sin conflictos y retransmisiones.

Entonces, si usa el canal 6 y su vecino usa el canal 3,4,5,7,8 o 9, tiene problemas. Su vecino perturbará su enrutador. Como usan canales diferentes, no pueden entenderse y, por lo tanto, no pueden resolver el intercambio. Las perturbaciones resultarán en retransmisiones masivas que a su vez molestarán al enrutador de sus vecinos, lo que a su vez retransmitirá ... ¿entiendes? Sería mucho mejor si su vecino cambiara al canal 6.

¿Por qué hay canales 2,3,4,5,7,8,9,10 disponibles si se supone que no debes usarlos? No lo sé realmente, pero puede ser una razón histórica porque no se anticipó el hacinamiento del WiFi de hoy en día y el rango de canales estaba disponible para ajustar las frecuencias para evitar perturbaciones de hornos de microondas y similares.

Peter Ulfheden
fuente
0

Al igual que BowlesCR, sospecho que tienes un usuario que es un cerdo de ancho de banda o tiene una infección de virus de algún tipo en su dispositivo.

No hay una forma fácil de diagnosticar a menos que tenga un enrutador con capacidades de monitoreo que no sean selectivamente listas negras / blancas.

Juanefe
fuente
0

El problema probablemente se deba a que alguien en su red carga demasiado tráfico ya que hay mucha menos capacidad disponible en sentido ascendente (que, como se mencionó, es probable que sea algún cliente de BitTorrent que se haya configurado para ejecutarse minimizado en el inicio como uTorrent, etc.). Es posible que se deba a que se está descargando algo, pero esto probablemente sería más obvio como si la gente mirara videos transmitidos.

Otro enfoque es usar algo como ettercap que puede usar para hacer ARP de veneno controlado en su red. Esto le permitiría rastrear el tráfico (usando el rastreo unificado, etc.) y descubrir quién está enviando demasiados datos. Hay un tutorial razonable aquí . Además, si tiene problemas con el cumplimiento del usuario, Ettercap le permite desactivar selectivamente la conexión de una máquina envenenando su tabla ARP para que su tráfico no llegue al enrutador.

Pierz
fuente
0

¿Tiene alguna configuración de seguridad en su enrutador? ¿Filtrado de IP, etc.? Si es posible, intente apagarlos por un tiempo y haga ping nuevamente. Esto a veces puede causar un bajo rendimiento en los enrutadores y causar pings altos.

Rexxo
fuente
-1

el nuevo iphone5, por ejemplo, bloquea viejas redes wlan cuando está activo. intente deshabilitar 5Ghz en su enrutador y solo use 2Ghz.

usuario314024
fuente
66
¿tiene alguna fuente acreditable para probar este reclamo?
Enfermo