forum.opennet.ru - "arp who-has ????" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"arp who-has ????"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"arp who-has ????"
Сообщение от geBo4ka (??) on 22-Янв-05, 16:51 (MSK)
Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump > 17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1 17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1 17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1 17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1 17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1 17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1 17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1 17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1 17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1 17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1 17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1 Обьясните пожалуйста, как порезать этот трафик?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

arp who-has ????, tr, 01:16 , 23-Янв-05, (1)
- arp who-has ????, INM, 15:34 , 23-Янв-05, (2)
  - arp who-has ????, Fes, 17:51 , 23-Янв-05, (3)
  - arp who-has ????, fantom, 00:53 , 24-Янв-05, (4)
    - arp who-has ????, Grayich, 02:31 , 24-Янв-05, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "arp who-has ????"

Сообщение от tr on 23-Янв-05, 01:16  (MSK)

>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >
>
>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1
>
>Обьясните пожалуйста, как порезать этот трафик?
помойму это у smb. А резать - закрыть порты

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "arp who-has ????"

Сообщение от INM (??) on 23-Янв-05, 15:34  (MSK)

>>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >
>>
>>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
здесь машина с ip:192.168.16.1 выполняет arp запрос с целью определения мак адреса машины с ip:192.168.16.65
>>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
тоже самое но только для ip:192.168.16.57
>>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
>>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
>>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
>>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
>>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
>>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
>>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
>>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
>>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1
>>
>>Обьясните пожалуйста, как порезать этот трафик?
>помойму это у smb. А резать - закрыть порты
Ну незнаю, при чем тут smb?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "arp who-has ????"

Сообщение от Fes (??) on 23-Янв-05, 17:51  (MSK)

Привет!
Вопрос в том, зачем тебе резать этот траффик? А ваще-то ИМХО никак. Но разве что если у тебя свитчи управляемые... ARP запросы нужны для того чтобы преобразовывать MAC адреса в IP. Если машина не найдёт у какой сетевухи нужный её IP адрес, она ничё не сможет на неё передать. Если тебе не нужен arp резолвинг, тогда может тебе не нужна сеть вообще?
А то что сетевуха мигает - эт карашо. Мигает - значит работает. А ты как думал? ARP кеш хранится несколько минут. И потом он обновляется. Т.е. ARP запросы были есть и будут. Это есть неотемлимая часть фунциклирования Ethernet сетей.
Вообщем с arp можно много начудить и насолить админам сетей или провам. Пока реальных средств контрольна кроме умных железяк я не знаю...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "arp who-has ????"

Сообщение от fantom (??) on 24-Янв-05, 00:53  (MSK)

>>>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump >
>>>
>>>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1
>здесь машина с ip:192.168.16.1 выполняет arp запрос с целью определения мак адреса
>машины с ip:192.168.16.65
>>>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1
>тоже самое но только для ip:192.168.16.57
>>>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1
>>>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1
>>>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1
>>>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1
>>>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1
>>>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1
>>>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1
>>>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1
>>>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1
>>>
>>>Обьясните пожалуйста, как порезать этот трафик?
>>помойму это у smb. А резать - закрыть порты
>Ну незнаю, при чем тут smb?
smb зачастую пингами проверяет сеть...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "arp who-has ????"

Сообщение от Grayich (ok) on 24-Янв-05, 02:31  (MSK)

>>>>Обьясните пожалуйста, как порезать этот трафик?
>>>помойму это у smb. А резать - закрыть порты
>>Ну незнаю, при чем тут smb?
>
>smb зачастую пингами проверяет сеть...
smb недает такой интенсивности запросов
я так понял это только маленький фрагмент, а на самом деле такого флуда оч. много...
судя по интенсивности пакетов в привиденном фрагменте, могу предположить:
1. кто то усилиненно сканирует постоянно сеть, или в момент работы tcpdump -p arp
2. в сети есть инфицированный вирем наподобие лавсан камп.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "arp who-has ????"
Сообщение от tr on 23-Янв-05, 01:16 (MSK)
>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump > > >17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1 >17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1 >17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1 >17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1 >17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1 >17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1 >17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1 >17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1 >17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1 >17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1 >17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1 > >Обьясните пожалуйста, как порезать этот трафик? помойму это у smb. А резать - закрыть порты
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "arp who-has ????"
	Сообщение от INM (??) on 23-Янв-05, 15:34 (MSK)
	>>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump > >> >>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1 здесь машина с ip:192.168.16.1 выполняет arp запрос с целью определения мак адреса машины с ip:192.168.16.65 >>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1 тоже самое но только для ip:192.168.16.57 >>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1 >>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1 >>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1 >>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1 >>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1 >>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1 >>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1 >>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1 >>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1 >> >>Обьясните пожалуйста, как порезать этот трафик? >помойму это у smb. А резать - закрыть порты Ну незнаю, при чем тут smb?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "arp who-has ????"
	Сообщение от Fes (??) on 23-Янв-05, 17:51 (MSK)
	Привет! Вопрос в том, зачем тебе резать этот траффик? А ваще-то ИМХО никак. Но разве что если у тебя свитчи управляемые... ARP запросы нужны для того чтобы преобразовывать MAC адреса в IP. Если машина не найдёт у какой сетевухи нужный её IP адрес, она ничё не сможет на неё передать. Если тебе не нужен arp резолвинг, тогда может тебе не нужна сеть вообще? А то что сетевуха мигает - эт карашо. Мигает - значит работает. А ты как думал? ARP кеш хранится несколько минут. И потом он обновляется. Т.е. ARP запросы были есть и будут. Это есть неотемлимая часть фунциклирования Ethernet сетей. Вообщем с arp можно много начудить и насолить админам сетей или провам. Пока реальных средств контрольна кроме умных железяк я не знаю...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "arp who-has ????"
	Сообщение от fantom (??) on 24-Янв-05, 00:53 (MSK)
	>>>Подскажите пожалуйста. В сети стоит сревре, после подклбючения сетевой интерфейс сервера светодиодом постоянно показывает сеетвую активность (поток постоянный) Вот что обнаружил в tcpdump > >>> >>>17:55:00.197594 arp who-has 192.168.16.65 tell 192.168.16.1 >здесь машина с ip:192.168.16.1 выполняет arp запрос с целью определения мак адреса >машины с ip:192.168.16.65 >>>17:55:00.352431 arp who-has 192.168.16.57 tell 192.168.16.1 >тоже самое но только для ip:192.168.16.57 >>>17:55:00.484864 arp who-has 192.168.15.127 tell 192.168.15.1 >>>17:55:00.520435 arp who-has 192.168.16.16 tell 192.168.16.1 >>>17:55:00.542482 arp who-has 192.168.16.225 tell 192.168.16.1 >>>17:55:00.603420 arp who-has 192.168.16.9 tell 192.168.16.1 >>>17:55:00.820430 arp who-has 192.168.15.125 tell 192.168.15.1 >>>17:55:00.979578 arp who-has 192.168.15.126 tell 192.168.15.1 >>>17:55:01.099491 arp who-has 192.168.16.75 tell 192.168.16.1 >>>17:55:01.222491 arp who-has 192.168.15.204 tell 192.168.15.1 >>>17:55:01.279459 arp who-has 192.168.15.97 tell 192.168.15.1 >>> >>>Обьясните пожалуйста, как порезать этот трафик? >>помойму это у smb. А резать - закрыть порты >Ну незнаю, при чем тут smb? smb зачастую пингами проверяет сеть...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "arp who-has ????"
	Сообщение от Grayich (ok) on 24-Янв-05, 02:31 (MSK)
	>>>>Обьясните пожалуйста, как порезать этот трафик? >>>помойму это у smb. А резать - закрыть порты >>Ну незнаю, при чем тут smb? > >smb зачастую пингами проверяет сеть... smb недает такой интенсивности запросов я так понял это только маленький фрагмент, а на самом деле такого флуда оч. много... судя по интенсивности пакетов в привиденном фрагменте, могу предположить: 1. кто то усилиненно сканирует постоянно сеть, или в момент работы tcpdump -p arp 2. в сети есть инфицированный вирем наподобие лавсан камп.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх