* [Comm] Arp flood
@ 2006-07-12 6:20 Pavel Stoliarov
2006-07-12 6:31 ` Dmitriy L. Kruglikov
2006-07-12 9:05 ` Serge A. Ribalchenko
0 siblings, 2 replies; 7+ messages in thread
From: Pavel Stoliarov @ 2006-07-12 6:20 UTC (permalink / raw)
To: ALT Linux Community
Имееться сервак с двумя интерфейсами.
eth0 смотрит во внутреннюю сеть, eth1 во внешнюю ( adsl подключение )
Последнее время наблюдаю постоянный arp флуд на внешнем интерфейсе eth1 :
...
09:36:30.794103 arp who-has 192.168.0.133 tell 192.168.0.45
09:36:30.795068 arp who-has 192.168.0.109 tell 192.168.0.45
09:36:31.013098 arp who-has 192.168.0.120 tell 192.168.0.45
09:36:31.014112 arp who-has 192.168.0.138 tell 192.168.0.45
09:36:31.014367 arp who-has 192.168.0.114 tell 192.168.0.45
09:36:31.060179 arp who-has 192.168.0.108 tell 192.168.0.45
09:36:31.122993 arp who-has 192.168.0.106 tell 192.168.0.45
09:36:31.279038 arp who-has 192.168.0.104 tell 192.168.0.45
09:36:31.560073 arp who-has 192.168.0.123 tell 192.168.0.45
09:36:31.716334 arp who-has 192.168.0.111 tell 192.168.0.45
09:36:31.778853 arp who-has 192.168.0.112 tell 192.168.0.45
09:36:31.779622 arp who-has 192.168.0.105 tell 192.168.0.45
09:36:31.888001 arp who-has 192.168.0.107 tell 192.168.0.45
09:36:31.950369 arp who-has 192.168.0.116 tell 192.168.0.45
...
Причем ни одного из вышеперечисленных IP так как и 0.45 в моей сети нет
и никогда
не было. На внутреннем eth0 а так же и на loopback такой картины не
наблюдаеться.
Как бороться с таким флудингом ?
--
Pavel Stoliarov
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Arp flood
2006-07-12 6:20 [Comm] Arp flood Pavel Stoliarov
@ 2006-07-12 6:31 ` Dmitriy L. Kruglikov
2006-07-12 7:59 ` Pavel Stoliarov
` (2 more replies)
2006-07-12 9:05 ` Serge A. Ribalchenko
1 sibling, 3 replies; 7+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-07-12 6:31 UTC (permalink / raw)
To: ALT Linux Community
On Wed, 12 Jul 2006 11:20:05 +0500
Pavel Stoliarov wrote:
> Как бороться с таким флудингом ?
Адреса внешних интерфейсов?
Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
"заразу" и гадит через сеть провайдера ....
Или гадит осознано ...
Попробуйте запретить все пакеты от 192.168.0.45 средствами
iptables...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Бережливость - это монетный двор бедняка.
-- Старинный афоризм
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Arp flood
2006-07-12 6:31 ` Dmitriy L. Kruglikov
@ 2006-07-12 7:59 ` Pavel Stoliarov
2006-08-02 8:15 ` Vladimir V. Kamarzin
2006-08-02 12:11 ` Vyatcheslav Perevalov
2 siblings, 0 replies; 7+ messages in thread
From: Pavel Stoliarov @ 2006-07-12 7:59 UTC (permalink / raw)
To: ALT Linux Community
Dmitriy L. Kruglikov пишет:
>On Wed, 12 Jul 2006 11:20:05 +0500
>Pavel Stoliarov wrote:
>
>
>
>>Как бороться с таким флудингом ?
>>
>>
>Адреса внешних интерфейсов?
>
>Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
>"заразу" и гадит через сеть провайдера ....
>Или гадит осознано ...
>Попробуйте запретить все пакеты от 192.168.0.45 средствами iptables...
>
>
iptables тут не поможет. Пакеты уже режуться , но тем неменее они так
и будут
валиться на интерфейс...
--
Pavel Stoliarov
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Arp flood
2006-07-12 6:20 [Comm] Arp flood Pavel Stoliarov
2006-07-12 6:31 ` Dmitriy L. Kruglikov
@ 2006-07-12 9:05 ` Serge A. Ribalchenko
2006-07-12 9:32 ` Dmitriy L. Kruglikov
1 sibling, 1 reply; 7+ messages in thread
From: Serge A. Ribalchenko @ 2006-07-12 9:05 UTC (permalink / raw)
To: ALT Linux Community
В Срд, 12/07/2006 в 11:20 +0500, Pavel Stoliarov пишет:
> 09:36:31.950369 arp who-has 192.168.0.116 tell 192.168.0.45
> Как бороться с таким флудингом ?
Ничего страшного (для Вас) пока не происходит, если вы ничего не знаете
об этих адресах.
Лечится комплексом из технических (сниффер) и организационных
(бейсбольная бита) методов. Запускаем сниффер, например, ethereal;
смотрим ethernet-фрейм, поле source. Есть очень высокая вероятность
того, что это поле будет соответствовать действительности.
Далее берем чудную вещь arpspoof из пакета dsniff и прикидываемся хостом
с адресом 192.168.0.45. Должно получиться что-то очень интересное ;)
Скорее всего, ваш адсл-модем подрабатывает бриджем и пересылает чью-то
чрезмерную широковещательную активность к вам на eth1. Можно и
проигнорировать, в общем-то.
--
Best wishes,
~ Serge. pubkeys: http://uch.net/~fisher/keys.asc
~fingerprint : 4346 2766 BC96 E77F 5BFF 1E7C 12C2 3852 E5FD DC34
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Arp flood
2006-07-12 9:05 ` Serge A. Ribalchenko
@ 2006-07-12 9:32 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 7+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-07-12 9:32 UTC (permalink / raw)
To: ALT Linux Community
On Wed, 12 Jul 2006 12:05:06 +0300
Serge A. Ribalchenko wrote:
> Скорее всего, ваш адсл-модем подрабатывает бриджем и
> пересылает чью-то чрезмерную широковещательную активность к
> вам на eth1. Можно и проигнорировать, в общем-то.
Ага ....
Ламеры-провайдеры, типа УкрТелекома и Велтона (то же Украина)
не в состоянии поставить железки в режиме роутеров ...
Только бридж .... Поверх него еще запускают PPPoE ...
Вроде как дать адрес прямо на модем им религия садо-мазочистская
не позволяет ...
В результате у клиента на интерфейсе дерьма по уши....
А если за бриджем не *никс, а Вынь, то и RPC-вирусов по самое
некуда ...
Что интересно, бесславно поглощенный УкрТелекомом U'tel отличный
сервис предоставлял... И нормально сеть ставил, и падений
минимум ...
А теперь и работать не с кем стало на Украине ... :(
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Для нас, писателей, брань ничего не значит: мы живем затем, чтоб
о нас кричали; одно только молчание нас губит.
-- Б.Джонсон
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Arp flood
2006-07-12 6:31 ` Dmitriy L. Kruglikov
2006-07-12 7:59 ` Pavel Stoliarov
@ 2006-08-02 8:15 ` Vladimir V. Kamarzin
2006-08-02 12:11 ` Vyatcheslav Perevalov
2 siblings, 0 replies; 7+ messages in thread
From: Vladimir V. Kamarzin @ 2006-08-02 8:15 UTC (permalink / raw)
To: ALT Linux Community
>>>>> On 12 Jul 2006 at 12:31 "DLK" == Dmitriy L Kruglikov writes:
>> Как бороться с таким флудингом ?
DLK> Адреса внешних интерфейсов?
DLK> Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
DLK> "заразу" и гадит через сеть провайдера ....
DLK> Или гадит осознано ...
Очень напоминает программу lanscope. Сканирует указанные диапазоны IP-адрсов
на предмет наличия виндовых шар, http/ftp.
--
vvk
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Arp flood
2006-07-12 6:31 ` Dmitriy L. Kruglikov
2006-07-12 7:59 ` Pavel Stoliarov
2006-08-02 8:15 ` Vladimir V. Kamarzin
@ 2006-08-02 12:11 ` Vyatcheslav Perevalov
2 siblings, 0 replies; 7+ messages in thread
From: Vyatcheslav Perevalov @ 2006-08-02 12:11 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от 12 июля 2006 13:31 Dmitriy L. Kruglikov написал(a):
> > Как бороться с таким флудингом ?
>
> Адреса внешних интерфейсов?
>
> Подозреваю, что рядом с вами, такой же ADSL клиент подхватил
> "заразу" и гадит через сеть провайдера ....
> Или гадит осознано ...
> Попробуйте запретить все пакеты от 192.168.0.45 средствами
> iptables...
Я у себя так и сделал
--
/vip
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2006-08-02 12:11 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-07-12 6:20 [Comm] Arp flood Pavel Stoliarov
2006-07-12 6:31 ` Dmitriy L. Kruglikov
2006-07-12 7:59 ` Pavel Stoliarov
2006-08-02 8:15 ` Vladimir V. Kamarzin
2006-08-02 12:11 ` Vyatcheslav Perevalov
2006-07-12 9:05 ` Serge A. Ribalchenko
2006-07-12 9:32 ` Dmitriy L. Kruglikov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git