Jump to content



Photo

Възможен ARP flood?!


  • Please log in to reply
5 replies to this topic

#1 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8960 posts

Posted 11 October 2018 - 20:57

Днес забелязах нещо, което поне преди няколко дни като гледах, го нямаше.

На кулбокс съм и забелязах, че WAN на рутера както и LED-a на RJ45 порта на медиата мигат постоянно, дори като няма трафик е мрежата ми (пробвах и изключване на всичко по ЛАН-а).

Един постоянен трафик от 50-100-тина килобита/с.

С рутер микротик съм и пуснах Torch на WAN порта (ether1).

Ето скрееншот.

Това от доставчика ли е, или нещо в моя рутер не е наред? Възможно ли е да просто някакъв arp flood, не разбирам особено като гледам данните. И дали да предприемам нещо по файруол и т.н.



#2 pavlan

pavlan

    Майстор

  • Members
  • PipPipPipPip
  • 350 posts

Posted 12 October 2018 - 00:08

Пусни един Packet Sniffer и виж откъде идват пакетите и какви са.

Може някой съсед по сегмент да се е шашнал(въпреки че портовете трябва да имат някакви филтри)?

Можеш да свалиш file-а и да го разгледаш с Wireshark.

Чак flood не е ама не е и малко 70 пакета/с. При мен не виждам такова нещо.



#3 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8960 posts

Posted 12 October 2018 - 09:42

Ами да. Питах познат, който също е на Кулбокс, и при него има такова нещо, той е сисадмин по принцип, на входа на кулбокс има такива arp-ове, макар и по-малко, ~300 ppm. При мен са много повече, както се вижда около 70pps (пакета в секунда).

Писах им с прикрепен горния шот, засега няма отговор, ще видим.

Май трябваше да пиша в темата за кулбокс, там повече влизат от съпорта, но мислех, че е нормално, но май засега само при тях се наблюдава от скромния ми feedback от познати. Ако е нормално, да кажат и ще се успокоим :) . Но такъв постоянен почти 10КБ/с трафик... надали е много нормално, според мен. Преди го нямаше, поне нерядко гледах медиата и при липса на трафик от ЛАН-а, почти не мигваше LED-a.

Edit: Днес (тази сутрин) гледам едно 10-тина пъти надолу е честотата на тези арпове, около 5kbit/s, т.е. около 300ppm като на моя познат. Ако той провери вечер, предполагам и при него ще скочат, т.е. предполагам вечер скачат, ще проследя.

P.S. Говорих с Кулбокс, явно е относително нормално, вкл. че имаше някакъв пик вчера (който продължи половин ден поне докато си легнах), който може да е предизвикан от друг потребител на интернет, нещо nmap алабала.. :) . Всъщност не знам откога и колко често е било последните дни, но скоро ъпдейтнах рутера, имаше и прекъсвания и т.н., иначе можеше и да не го забележа.

 

P.S2. Вече 2-3 дни наблюдавам по 2-3 пъти на ден поглеждам, вечер и през деня, засега не се е наблюдавало това, нещата са "под контрол" с 5-10 arp пакета в секунда, явно онова е било някакъв пик, следвал точно прекъсването на нета когато се наложи да рестартирам медиа конвертора. Аз нещо се бях притеснил да не е от мен причината или самия конвертор да мята арпове и нещо той да мизерства :) .


Edited by tedy, 14 October 2018 - 09:58.


#4 Antares

Antares

    ursa solaris

  • Members
  • PipPipPipPipPipPipPip
  • 16917 posts

Posted 17 October 2018 - 08:59

Също съм на кулбокс и... к'во да ти кажа. Аз съм с линукска машина за рутър - преди да се сетя да забраня ssh root достъпа имах от 15 до 30 хиляди опита за логване на денонощие :) Сложих един csf и като че ли са се поуспокоили нещата :)

 

[root@pesticide ~]# cat /var/log/messages |grep 'Firewall\:\ \*TCP\_IN Blocked\*' |grep 'Oct\ 17' |wc -l
2262

[root@pesticide ~]# cat /var/log/messages |grep 'Firewall\:\ \*TCP\_IN Blocked\*' |grep 'Oct\ 16' |wc -l
5411


Edited by Antares, 17 October 2018 - 09:02.

Моите карикатури . Крива Спица . mtb
Попитали Далай Лама какво най-много го изненадва относно човечеството, а той отговорил:
"Човекът, защото жертва здравето си, за да печели пари. После жертва парите, за да си възвърне здравето. И след това е толкова неспокоен за бъдещето, че не се радва на настоящето. Резултатът е, че не живее нито в настоящето, нито в бъдещето, живее, сякаш никога няма да умре и после умира, без никога да е живял."

#5 tedy

tedy

    Депутат

  • Members
  • PipPipPipPipPipPipPip
  • 8960 posts

Posted 17 October 2018 - 12:24

Ама имаш ли подобни на моите arp пакети на входа? :)

С обикновена сапунерка май няма как да се наблюдават те, и сигурно затова и повечето хора не знаят ако/като имат такива, които да генерират някакъв почти постоянен трафик от някакви килобайти в сек.



#6 Antares

Antares

    ursa solaris

  • Members
  • PipPipPipPipPipPipPip
  • 16917 posts

Posted 17 October 2018 - 15:26

Ами не съм снифил, честно казано.


Моите карикатури . Крива Спица . mtb
Попитали Далай Лама какво най-много го изненадва относно човечеството, а той отговорил:
"Човекът, защото жертва здравето си, за да печели пари. После жертва парите, за да си възвърне здравето. И след това е толкова неспокоен за бъдещето, че не се радва на настоящето. Резултатът е, че не живее нито в настоящето, нито в бъдещето, живее, сякаш никога няма да умре и после умира, без никога да е живял."




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users