LINUX.ORG.RU
ФорумAdmin

Слишком много arp who-has


0

0

Постоянно в tcpdump видно строчки такого вида:

23:09:36.755837 arp who-has 192.168.57.242 tell 192.168.57.156
23:09:36.757083 arp who-has 192.168.57.120 tell 192.168.57.156
23:09:36.862882 arp who-has 192.168.57.165 tell 192.168.57.156
23:09:36.863886 arp who-has 192.168.57.174 tell 192.168.57.156
23:09:36.867831 arp who-has 192.168.57.133 tell 192.168.57.156

Я понимаю, если сканировать сеть, то нужно опросить все ip, но они постоянно повторяются. Иногда этот флуд идет с одних ip, иногда с других. Вроде подмены IP/MAC нет, может это вирус какой?

★★★★★

Ответ на: комментарий от anonymous

>такое часто делают некоторые вирусы

или не очень хорошие люди ;)

Cosmicman ★★
()
Ответ на: комментарий от init

> К тому же у нас районная сеть

По-моему, дальше можно не продолжать. ;-) Очередной обчитавшийся туалетной бумаги под названием "журнал ксакеп" дошкольник дорвался до папиного компа...

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

> По-моему, дальше можно не продолжать. ;-) Очередной обчитавшийся туалетной бумаги под названием "журнал ксакеп" дошкольник дорвался до папиного компа...

:) Да непохоже, это с разных ip идет постоянно, причем может одновременно с нескольких, mac, написанных в этих запросах я проверял - действительно это разные действующие компы.

В принципе по 10 запросов в секунду мешает не сильно, но раздражает все-таки. Если это не дошкольник, то что?

init ★★★★★
() автор топика
Ответ на: комментарий от init

>) Да непохоже, это с разных ip идет постоянно, причем может одновременно с нескольких, mac, написанных в этих запросах я проверял - действительно это разные действующие компы.

А может, это нормально? Ну если речь идёт о виндовс локалке, может быть юзеры активно ходят по шарам друг у друга, а в виндах, афаик, не принятно держать арп-кэш и брать инфу об айпи компов из кэша, а вместо этого каждый раз кидать бродкастовые arp who-has запросы - вот и забивают сетку этим мусором... или несколько виндовых компов напичканы червями и вируснёй по самое немогу... имхо, если б это было дело рук одного кульхацкера - флуд шёл бы с одного айпи-мака...

...кстати, а сетка у вас на "умных" свичах, т.е. с привязкой ip-mac-port или на "тупых"? В последнем случае таблица соответствия мак-айпи перезаписывается, и узнать о подмене мак-айпи непросто - тогда может и кульхацкер балуется...

bsh ★★★
()
Ответ на: комментарий от init

ip-активность у этого адреса есть? и вообще -- по башке в реале дать не пробовал? помогает точно хотя не всегда надолго :)

anonymous
()
Ответ на: комментарий от anonymous

> ip-активность у этого адреса есть? и вообще -- по башке в реале дать не пробовал? помогает точно хотя не всегда надолго :)

Так в том то и дело, что наверняка обладатель ip не знает, что с его компа такая активность.

init ★★★★★
() автор топика
Ответ на: комментарий от bsh

> ...кстати, а сетка у вас на "умных" свичах, т.е. с привязкой ip-mac-port или на "тупых"? В последнем случае таблица соответствия мак-айпи перезаписывается, и узнать о подмене мак-айпи непросто - тогда может и кульхацкер балуется...

На тупых, это конечно возможно, но как-то не верится, что кто-то так балуется.

init ★★★★★
() автор топика
Ответ на: комментарий от init

>На тупых, это конечно возможно, но как-то не верится, что кто-то так балуется.

Когда я юзал инет из такой домосетки - мне пришлось поверить, когда один умник, судя по-всему, устроил в моём сегменте арп-прокси и ходил в инет за мой счёт. Админы сетки ничего сделать не могли (а может просто и не особо хотели заморачиваться)...

Вылечилось это дело только установкой статической арп-маршрутизации. Сначала посылал в сеть arping и видел два айпишника с разными маками - звонил прову, выяснял какой у них действительный мак на шлюзовской сетевухе, прописывал их мак-айпи в /etc/ethers и заставлял арп запрашивать файл, а не сеть...

А ты говоришь, не верится...

bsh ★★★
()
Ответ на: комментарий от bsh

Кстати, я того умника случайно поимел потом. Пров поменял сетевуху, я соответственно поменял запись в /etc/ethers и забыл его сохранить взамен старого. А через время обновлял линух и восстановил из бэкапа старый /этц/эзерс - и ничего не заметил - инет есть, что мне надо? И ходил так в инет с недельку... смотрю, что-то трафик на счету не уменьшается ;). Потом этот тип видимо догадался в чём дело, пришлось опять менять мак провайдерской сетевухи на правильный и ходить в инет за свой счёт -).

Так что ты уж лучше поверь, вернее найди способ проверить ;).

bsh ★★★
()

Так часто себя ведут проги для ``LAN-чата'' под offtopic
(Prochat например),
они используют броадкаст для определения абонентов.
(выделенного сервера у них нет)

anonymous
()
Ответ на: комментарий от anonymous

А ещё (из опыта локалки) так ведет себя Win32.LSABot (по крайней мере его так Dr.Web называет). Его не выколупать из форточки антивирем если она в штатном режиме загружена. Приходится грузится в безопасный и проверять там - после этого всё нормально. А ещё этот вирь в реесте видно(Вроде я не путаю его с другими) он в run прописывается под названием типа Cryptographic service(может я путаю с msblast). Но то что LSABot гонит arp флуд это точно.

The_Ketchup ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin