URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 37330
[ Назад ]

Исходное сообщение
"BSD флудит ARP-ом"
Отправлено SergeyD , 17-Ноя-03 00:26

Имеется роутер на FreeBSD 5.0 Release. Кидает в сетку кучу запросов постоянно опрашивая всю сетку по кругу снова и снова. Интересно что - флуд только на внутреннем интерфейсе, и в самом запросе МАС адрес получателя не нулевой, а начинается с цифр 62. Внизу кусок из tcpdump.
Кто нибудь подскажет как с этим бороться?
23:17:18.340795 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.105 (62:e3:f:f7:e4:d6) tell 159.148.98.1
23:17:18.370830 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.107 (62:1:5:12:7:6c) tell 159.148.98.1
23:17:18.370847 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.108 (62:e3:b:80:e4:d6) tell 159.148.98.1
23:17:18.370863 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.106 (62:e3:10:1:e4:d6) tell 159.148.98.1
23:17:18.371032 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.109 (62:e3:b:96:e4:d6) tell 159.148.98.1
23:17:18.380766 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.113 (62:1:4:1d:7:6c) tell 159.148.98.1
23:17:18.380783 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.110 (62:e3:7:26:e4:d6) tell 159.148.98.1
23:17:18.380799 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.111 (62:e3:c:e6:e4:d6) tell 159.148.98.1
23:17:18.380816 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.112 (62:e3:4:35:e4:d6) tell 159.148.98.1
23:17:18.380938 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.114 (62:e3:7:26:e4:d6) tell 159.148.98.1
23:17:18.390775 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.116 (62:e3:4:35:e4:d6) tell 159.148.98.1
23:17:18.390791 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.117 (62:e3:c:e6:e4:d6) tell 159.148.98.1
23:17:18.390807 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.115 (62:e3:b:a1:e4:d6) tell 159.148.98.1
23:17:18.390824 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.118 (62:e3:11:96:e4:d6) tell 159.148.98.1
23:17:18.391062 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.119 (62:e3:b:2d:e4:d6) tell 159.148.98.1
23:17:18.394199 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.120 (62:e3:7:95:e4:d6) tell 159.148.98.1
23:17:18.397860 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.121 (62:e3:b:a1:e4:d6) tell 159.148.98.1
23:17:18.400767 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.122 (62:a4:b:99:53:3b) tell 159.148.98.1
23:17:18.402020 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.123 (62:a4:b:99:53:3b) tell 159.148.98.1
23:17:18.402836 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.124 (62:e3:9:ef:e4:d6) tell 159.148.98.1
23:17:18.410767 0:10:5a:db:f9:77 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 159.148.98.129 (62:1:5:12:7:6c) tell 159.148.98.1

Содержание

BSD флудит ARP-ом,anonymous, 01:10 , 17-Ноя-03
BSD флудит ARP-ом,Михаил, 08:35 , 17-Ноя-03
- BSD флудит ARP-ом,SergeyD, 22:03 , 18-Ноя-03
BSD флудит ARP-ом,Zerot, 11:02 , 17-Ноя-03

Сообщения в этом обсуждении

"BSD флудит ARP-ом"
Отправлено anonymous , 17-Ноя-03 01:10

>Кто нибудь подскажет как с этим бороться?
А зачем с этим бороться?
Как я понимаю, 159.148.98.1 - это адрес сервака (роутера). Ситуевина примерно такая. Некая прога (вирус, червь, etc) где-то в Инете пытается просканерить/заразить компы. Ну например посылает пакеты на 139 порт на все адреса подряд в цикле. Т.е. в вашем случае 159.148.98.105, 159.148.98.106, 159.148.98.107 итд. Эти адреса принадлежат сегменту Ethernet. Соответственно роутер на этом интерфейсе (159.148.98.1) чтобы доставить пакет запрашивает по arp протоколу MAC адрес.
Сканирующей проге нет дела до того, что часть этих адресов не используется.
Достаточно типичная ситуация. Сейчас столько хлама по сети валится - ужас.
Предлагаю просто не обращать внимания.
Можно закрыть 139 порт. Скорее всего сканирование ведут по нему.
ipfw deny tcp from any to any dst-port 139
ipfw deny udp from any to any dst-port 139

"BSD флудит ARP-ом"
Отправлено Михаил , 17-Ноя-03 08:35

>Интересно что в самом запросе МАС адрес получателя не нулевой, а начинается с цифр 62.
насколько я вижу, адрес получателя везде стоит ff:ff:ff:ff:ff:ff, как и должно быть у таких arp-запросов.
>Кто нибудь подскажет как с этим бороться?
вычисляй, что за прога такое рассылает
заодно проверь, а не приходят ли с внешнего интерфейса пакеты, адресованные внутренним компам.
у тебя 159.148.98.0/24, как я понимаю, реальные адреса?
тогда, возможно, кто-то сканирует твою сеть...

"BSD флудит ARP-ом"
Отправлено SergeyD , 18-Ноя-03 22:03

>>Интересно что в самом запросе МАС адрес получателя не нулевой, а начинается с цифр 62.
>насколько я вижу, адрес получателя везде стоит ff:ff:ff:ff:ff:ff, как и должно быть
>у таких arp-запросов.
>
Всем спасибо за совет - нетбиос порты у меня закрыты изначально.
Михаил - в эзернет заголовке все в порядке - исходник МАС роутера, получатель ff:ff:ff:ff:ff:ff.
Но в самом теле запроса есть поле "Target MAC address", и вот оно не 00:00:00:00:00:00, как это должно быть, а начинается с 62. Значения этого поля как бы случайные - их можно увидеть в листинге после айпишника.

"BSD флудит ARP-ом"
Отправлено Zerot , 17-Ноя-03 11:02

Да, закрывать лучше smb порты 137:139, ставить обработку статистики по пресональным адресам в локальной сети в разрезе портов - картина сразу очень наглядная. Да и для других дел пригодиться.