URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 52651
[ Назад ]
Исходное сообщение
"arp who-has ????"
Отправлено geBo4ka , 22-Янв-05 16:51 
Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >

17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1

Обьясните пожалуйста, как порезать этот трафик?

Содержание
Сообщения в этом обсуждении
"arp who-has ????"
Отправлено tr , 23-Янв-05 01:16 
>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >
>
>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1
>
>Обьясните пожалуйста, как порезать этот трафик?
помойму это у smb. А резать - закрыть порты

"arp who-has ????"
Отправлено INM , 23-Янв-05 15:34 
>>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >
>>
>>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
здесь машина с ip:192.168.16.1 выполняет arp запрос с целью определения мак адреса машины с ip:192.168.16.65
>>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
тоже самое но только для ip:192.168.16.57
>>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
>>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
>>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
>>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
>>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
>>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
>>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
>>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
>>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1
>>
>>Обьясните пожалуйста, как порезать этот трафик?
>помойму это у smb. А резать - закрыть порты
Ну незнаю, при чем тут smb?

"arp who-has ????"
Отправлено Fes , 23-Янв-05 17:51 
Привет!
Вопрос в том, зачем тебе резать этот траффик? А ваще-то ИМХО никак. Но разве что если у тебя свитчи управляемые... ARP запросы нужны для того чтобы преобразовывать MAC адреса в IP. Если машина не найдёт у какой сетевухи нужный её IP адрес, она ничё не сможет на неё передать. Если тебе не нужен arp резолвинг, тогда может тебе не нужна сеть вообще?
А то что сетевуха мигает - эт карашо. Мигает - значит работает. А ты как думал? ARP кеш хранится несколько минут. И потом он обновляется. Т.е. ARP запросы были есть и будут. Это есть неотемлимая часть фунциклирования Ethernet сетей.
Вообщем с arp можно много начудить и насолить админам сетей или провам. Пока реальных средств контрольна кроме умных железяк я не знаю...
"arp who-has ????"
Отправлено fantom , 24-Янв-05 00:53 
>>>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >
>>>
>>>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
>здесь машина с ip:192.168.16.1 выполняет arp запрос с целью определения мак адреса
>машины с ip:192.168.16.65
>>>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
>тоже самое но только для ip:192.168.16.57
>>>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
>>>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
>>>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
>>>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
>>>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
>>>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
>>>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
>>>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
>>>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1
>>>
>>>Обьясните пожалуйста, как порезать этот трафик?
>>помойму это у smb. А резать - закрыть порты
>Ну незнаю, при чем тут smb?

smb зачастую пингами проверяет сеть...

"arp who-has ????"
Отправлено Grayich , 24-Янв-05 02:31 
>>>>Обьясните пожалуйста, как порезать этот трафик?
>>>помойму это у smb. А резать - закрыть порты
>>Ну незнаю, при чем тут smb?
>
>smb зачастую пингами проверяет сеть...

smb недает такой интенсивности запросов
я так понял это только маленький фрагмент, а на самом деле такого флуда оч. много...

судя по интенсивности пакетов в привиденном фрагменте, могу предположить:

1. кто то усилиненно сканирует постоянно сеть, или в момент работы tcpdump -p arp
2. в сети есть инфицированный вирем наподобие лавсан камп.