[Comm] Arp flood

[Comm] Arp flood

[Pavel Stoliarov]

Имееться сервак с двумя интерфейсами.
eth0 смотрит во внутреннюю сеть, eth1 во внешнюю ( adsl подключение )
Последнее время наблюдаю постоянный arp флуд на внешнем интерфейсе eth1 :
...
09:36:30.794103 arp who-has 192.168.0.133 tell 192.168.0.45
09:36:30.795068 arp who-has 192.168.0.109 tell 192.168.0.45
09:36:31.013098 arp who-has 192.168.0.120 tell 192.168.0.45
09:36:31.014112 arp who-has 192.168.0.138 tell 192.168.0.45
09:36:31.014367 arp who-has 192.168.0.114 tell 192.168.0.45
09:36:31.060179 arp who-has 192.168.0.108 tell 192.168.0.45
09:36:31.122993 arp who-has 192.168.0.106 tell 192.168.0.45
09:36:31.279038 arp who-has 192.168.0.104 tell 192.168.0.45
09:36:31.560073 arp who-has 192.168.0.123 tell 192.168.0.45
09:36:31.716334 arp who-has 192.168.0.111 tell 192.168.0.45
09:36:31.778853 arp who-has 192.168.0.112 tell 192.168.0.45
09:36:31.779622 arp who-has 192.168.0.105 tell 192.168.0.45
09:36:31.888001 arp who-has 192.168.0.107 tell 192.168.0.45
09:36:31.950369 arp who-has 192.168.0.116 tell 192.168.0.45
...

Причем ни одного из вышеперечисленных IP так как и 0.45 в моей сети нет 
и никогда
не было. На внутреннем eth0 а так же и на loopback такой картины не 
наблюдаеться.

Как бороться с таким флудингом ?

--
Pavel Stoliarov

Re: [Comm] Arp flood

[Dmitriy L. Kruglikov]

On Wed, 12 Jul 2006 11:20:05 +0500
Pavel Stoliarov wrote:

> Как бороться с таким флудингом ?
Адреса внешних интерфейсов?

Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
"заразу" и гадит через сеть провайдера ....
Или гадит осознано ...
Попробуйте запретить все пакеты от 192.168.0.45 средствами
iptables...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Бережливость - это монетный двор бедняка.
		-- Старинный афоризм

Re: [Comm] Arp flood

[Pavel Stoliarov]

Dmitriy L. Kruglikov пишет:

>On Wed, 12 Jul 2006 11:20:05 +0500
>Pavel Stoliarov wrote:
>
>  
>
>>Как бороться с таким флудингом ?
>>    
>>
>Адреса внешних интерфейсов?
>
>Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
>"заразу" и гадит через сеть провайдера ....
>Или гадит осознано ...
>Попробуйте запретить все пакеты от 192.168.0.45 средствами iptables...
>  
>
 iptables тут не поможет. Пакеты уже режуться  , но тем неменее они так 
и будут
валиться на интерфейс...

--
Pavel Stoliarov

Re: [Comm] Arp flood

[Serge A. Ribalchenko]

В Срд, 12/07/2006 в 11:20 +0500, Pavel Stoliarov пишет:

> 09:36:31.950369 arp who-has 192.168.0.116 tell 192.168.0.45

> Как бороться с таким флудингом ?

Ничего страшного (для Вас) пока не происходит, если вы ничего не знаете
об этих адресах.
Лечится комплексом из технических (сниффер) и организационных
(бейсбольная бита) методов. Запускаем сниффер, например, ethereal;
смотрим ethernet-фрейм, поле source. Есть очень высокая вероятность
того, что это поле будет соответствовать действительности.
Далее берем чудную вещь arpspoof из пакета dsniff и прикидываемся хостом
с адресом 192.168.0.45. Должно получиться что-то очень интересное ;)
Скорее всего, ваш адсл-модем подрабатывает бриджем и пересылает чью-то
чрезмерную широковещательную активность к вам на eth1. Можно и
проигнорировать, в общем-то.

-- 
Best wishes,
~       Serge.           pubkeys: http://uch.net/~fisher/keys.asc
~fingerprint : 4346 2766 BC96 E77F 5BFF  1E7C 12C2 3852 E5FD DC34

Re: [Comm] Arp flood

[Dmitriy L. Kruglikov]

On Wed, 12 Jul 2006 12:05:06 +0300
Serge A. Ribalchenko wrote:

> Скорее всего, ваш адсл-модем подрабатывает бриджем и
> пересылает чью-то чрезмерную широковещательную активность к
> вам на eth1. Можно и проигнорировать, в общем-то.
Ага ....
Ламеры-провайдеры, типа УкрТелекома и Велтона (то же Украина)
не в состоянии поставить железки в режиме роутеров ...
Только бридж .... Поверх него еще запускают PPPoE ...
Вроде как дать адрес прямо на модем им религия садо-мазочистская
не позволяет ...
В результате у клиента на интерфейсе дерьма по уши....
А если за бриджем не *никс, а Вынь, то и RPC-вирусов по самое
некуда ...

Что интересно, бесславно поглощенный УкрТелекомом U'tel отличный
сервис предоставлял... И нормально сеть ставил, и падений
минимум ...
А теперь и работать не с кем стало на Украине ... :(



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Для нас, писателей, брань ничего не значит: мы живем затем, чтоб
о нас кричали; одно только молчание нас губит.
		-- Б.Джонсон

Re: [Comm] Arp flood

[Vladimir V. Kamarzin]

>>>>> On 12 Jul 2006 at 12:31 "DLK" == Dmitriy L Kruglikov writes:

>> Как бороться с таким флудингом ?
 DLK> Адреса внешних интерфейсов?

 DLK> Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
 DLK> "заразу" и гадит через сеть провайдера ....
 DLK> Или гадит осознано ...

Очень напоминает программу lanscope. Сканирует указанные диапазоны IP-адрсов
на предмет наличия виндовых шар, http/ftp.

-- 
vvk

Re: [Comm] Arp flood

[Vyatcheslav Perevalov]

В сообщении от 12 июля 2006 13:31 Dmitriy L. Kruglikov написал(a):

> > Как бороться с таким флудингом ?
>
> Адреса внешних интерфейсов?
>
> Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
> "заразу" и гадит через сеть провайдера ....
> Или гадит осознано ...
> Попробуйте запретить все пакеты от 192.168.0.45 средствами
> iptables...
Я у себя так и сделал
-- 
/vip