форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"BSD флудит ARP-ом"
Сообщение от SergeyD on 17-Ноя-03, 00:26  (MSK)
Имеется роутер на FreeBSD 5.0 Release. Кидает в сетку кучу запросов постоянно опрашивая всю сетку по кругу снова и снова. Интересно что - флуд только на внутреннем интерфейсе, и в самом запросе МАС адрес получателя не нулевой, а начинается с цифр 62. Внизу кусок из tcpdump. Кто нибудь подскажет как с этим бороться? 23:17:18.340795 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.105 (62:e3:f:f7:e4:d6) tell 159.148.98.1 23:17:18.370830 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.107 (62:1:5:12:7:6c) tell 159.148.98.1 23:17:18.370847 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.108 (62:e3:b:80:e4:d6) tell 159.148.98.1 23:17:18.370863 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.106 (62:e3:10:1:e4:d6) tell 159.148.98.1 23:17:18.371032 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.109 (62:e3:b:96:e4:d6) tell 159.148.98.1 23:17:18.380766 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.113 (62:1:4:1d:7:6c) tell 159.148.98.1 23:17:18.380783 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.110 (62:e3:7:26:e4:d6) tell 159.148.98.1 23:17:18.380799 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.111 (62:e3:c:e6:e4:d6) tell 159.148.98.1 23:17:18.380816 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.112 (62:e3:4:35:e4:d6) tell 159.148.98.1 23:17:18.380938 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.114 (62:e3:7:26:e4:d6) tell 159.148.98.1 23:17:18.390775 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.116 (62:e3:4:35:e4:d6) tell 159.148.98.1 23:17:18.390791 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.117 (62:e3:c:e6:e4:d6) tell 159.148.98.1 23:17:18.390807 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.115 (62:e3:b:a1:e4:d6) tell 159.148.98.1 23:17:18.390824 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.118 (62:e3:11:96:e4:d6) tell 159.148.98.1 23:17:18.391062 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.119 (62:e3:b:2d:e4:d6) tell 159.148.98.1 23:17:18.394199 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.120 (62:e3:7:95:e4:d6) tell 159.148.98.1 23:17:18.397860 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.121 (62:e3:b:a1:e4:d6) tell 159.148.98.1 23:17:18.400767 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.122 (62:a4:b:99:53:3b) tell 159.148.98.1 23:17:18.402020 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.123 (62:a4:b:99:53:3b) tell 159.148.98.1 23:17:18.402836 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.124 (62:e3:9:ef:e4:d6) tell 159.148.98.1 23:17:18.410767 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.129 (62:1:5:12:7:6c) tell 159.148.98.1
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "BSD флудит ARP-ом"
Сообщение от anonymous on 17-Ноя-03, 01:10  (MSK)
>Кто нибудь подскажет как с этим бороться? А зачем с этим бороться? Как я понимаю, 159.148.98.1 - это адрес сервака (роутера). Ситуевина примерно такая. Некая прога (вирус, червь, etc) где-то в Инете пытается просканерить/заразить компы. Ну например посылает пакеты на 139 порт на все адреса подряд в цикле. Т.е. в вашем случае 159.148.98.105, 159.148.98.106, 159.148.98.107 итд. Эти адреса принадлежат сегменту Ethernet. Соответственно роутер на этом интерфейсе (159.148.98.1) чтобы доставить пакет запрашивает по arp протоколу MAC адрес. Сканирующей проге нет дела до того, что часть этих адресов не используется. Достаточно типичная ситуация. Сейчас столько хлама по сети валится - ужас. Предлагаю просто не обращать внимания. Можно закрыть 139 порт. Скорее всего сканирование ведут по нему. ipfw deny tcp from any to any dst-port 139 ipfw deny udp from any to any dst-port 139
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "BSD флудит ARP-ом"
Сообщение от Михаил on 17-Ноя-03, 08:35  (MSK)
>Интересно что в самом запросе МАС адрес получателя не нулевой, а начинается с цифр 62. насколько я вижу, адрес получателя везде стоит ff:ff:ff:ff:ff:ff, как и должно быть у таких arp-запросов. >Кто нибудь подскажет как с этим бороться? вычисляй, что за прога такое рассылает заодно проверь, а не приходят ли с внешнего интерфейса пакеты, адресованные внутренним компам. у тебя 159.148.98.0/24, как я понимаю, реальные адреса? тогда, возможно, кто-то сканирует твою сеть...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "BSD флудит ARP-ом"
	Сообщение от SergeyD on 18-Ноя-03, 22:03  (MSK)
	>>Интересно что в самом запросе МАС адрес получателя не нулевой, а начинается с цифр 62. >насколько я вижу, адрес получателя везде стоит ff:ff:ff:ff:ff:ff, как и должно быть >у таких arp-запросов. > Всем спасибо за совет - нетбиос порты у меня закрыты изначально.   Михаил - в эзернет заголовке все в порядке - исходник МАС роутера, получатель ff:ff:ff:ff:ff:ff.   Но в самом теле запроса есть поле "Target MAC address", и вот оно не 00:00:00:00:00:00, как это должно быть, а начинается с 62. Значения этого поля как бы случайные - их можно увидеть в листинге после айпишника.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "BSD флудит ARP-ом"
Сообщение от Zerot on 17-Ноя-03, 11:02  (MSK)
Да, закрывать лучше smb порты 137:139, ставить обработку статистики по пресональным адресам в локальной сети в разрезе портов - картина сразу очень наглядная. Да и для других дел пригодиться.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.