Jump to content
BulForum.com
Sign in to follow this  
tedy

Възможен ARP flood?!

Recommended Posts

Днес забелязах нещо, което поне преди няколко дни като гледах, го нямаше.

На кулбокс съм и забелязах, че WAN на рутера както и LED-a на RJ45 порта на медиата мигат постоянно, дори като няма трафик е мрежата ми (пробвах и изключване на всичко по ЛАН-а).

Един постоянен трафик от 50-100-тина килобита/с.

С рутер микротик съм и пуснах Torch на WAN порта (ether1).

Ето скрееншот.

Това от доставчика ли е, или нещо в моя рутер не е наред? Възможно ли е да просто някакъв arp flood, не разбирам особено като гледам данните. И дали да предприемам нещо по файруол и т.н.

Share this post


Link to post
Share on other sites

Пусни един Packet Sniffer и виж откъде идват пакетите и какви са.

Може някой съсед по сегмент да се е шашнал(въпреки че портовете трябва да имат някакви филтри)?

Можеш да свалиш file-а и да го разгледаш с Wireshark.

Чак flood не е ама не е и малко 70 пакета/с. При мен не виждам такова нещо.

Share this post


Link to post
Share on other sites

Ами да. Питах познат, който също е на Кулбокс, и при него има такова нещо, той е сисадмин по принцип, на входа на кулбокс има такива arp-ове, макар и по-малко, ~300 ppm. При мен са много повече, както се вижда около 70pps (пакета в секунда).

Писах им с прикрепен горния шот, засега няма отговор, ще видим.

Май трябваше да пиша в темата за кулбокс, там повече влизат от съпорта, но мислех, че е нормално, но май засега само при тях се наблюдава от скромния ми feedback от познати. Ако е нормално, да кажат и ще се успокоим :) . Но такъв постоянен почти 10КБ/с трафик... надали е много нормално, според мен. Преди го нямаше, поне нерядко гледах медиата и при липса на трафик от ЛАН-а, почти не мигваше LED-a.

Edit: Днес (тази сутрин) гледам едно 10-тина пъти надолу е честотата на тези арпове, около 5kbit/s, т.е. около 300ppm като на моя познат. Ако той провери вечер, предполагам и при него ще скочат, т.е. предполагам вечер скачат, ще проследя.

P.S. Говорих с Кулбокс, явно е относително нормално, вкл. че имаше някакъв пик вчера (който продължи половин ден поне докато си легнах), който може да е предизвикан от друг потребител на интернет, нещо nmap алабала.. :) . Всъщност не знам откога и колко често е било последните дни, но скоро ъпдейтнах рутера, имаше и прекъсвания и т.н., иначе можеше и да не го забележа.

 

P.S2. Вече 2-3 дни наблюдавам по 2-3 пъти на ден поглеждам, вечер и през деня, засега не се е наблюдавало това, нещата са "под контрол" с 5-10 arp пакета в секунда, явно онова е било някакъв пик, следвал точно прекъсването на нета когато се наложи да рестартирам медиа конвертора. Аз нещо се бях притеснил да не е от мен причината или самия конвертор да мята арпове и нещо той да мизерства :) .

Edited by tedy

Share this post


Link to post
Share on other sites

Също съм на кулбокс и... к'во да ти кажа. Аз съм с линукска машина за рутър - преди да се сетя да забраня ssh root достъпа имах от 15 до 30 хиляди опита за логване на денонощие :) Сложих един csf и като че ли са се поуспокоили нещата :)

 

[root@pesticide ~]# cat /var/log/messages |grep 'Firewall\:\ \*TCP\_IN Blocked\*' |grep 'Oct\ 17' |wc -l
2262

[root@pesticide ~]# cat /var/log/messages |grep 'Firewall\:\ \*TCP\_IN Blocked\*' |grep 'Oct\ 16' |wc -l
5411

Edited by Antares

Share this post


Link to post
Share on other sites

Ама имаш ли подобни на моите arp пакети на входа? :)

С обикновена сапунерка май няма как да се наблюдават те, и сигурно затова и повечето хора не знаят ако/като имат такива, които да генерират някакъв почти постоянен трафик от някакви килобайти в сек.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...