Възможен ARP flood?!

[tedy]

Днес забелязах нещо, което поне преди няколко дни като гледах, го нямаше.

На кулбокс съм и забелязах, че WAN на рутера както и LED-a на RJ45 порта на медиата мигат постоянно, дори като няма трафик е мрежата ми (пробвах и изключване на всичко по ЛАН-а).

Един постоянен трафик от 50-100-тина килобита/с.

С рутер микротик съм и пуснах Torch на WAN порта (ether1).

Ето скрееншот.

Това от доставчика ли е, или нещо в моя рутер не е наред? Възможно ли е да просто някакъв arp flood, не разбирам особено като гледам данните. И дали да предприемам нещо по файруол и т.н.

[pavlan]

Пусни един Packet Sniffer и виж откъде идват пакетите и какви са.

Може някой съсед по сегмент да се е шашнал(въпреки че портовете трябва да имат някакви филтри)?

Можеш да свалиш file-а и да го разгледаш с Wireshark.

Чак flood не е ама не е и малко 70 пакета/с. При мен не виждам такова нещо.

[tedy]

Ами да. Питах познат, който също е на Кулбокс, и при него има такова нещо, той е сисадмин по принцип, на входа на кулбокс има такива arp-ове, макар и по-малко, ~300 ppm. При мен са много повече, както се вижда около 70pps (пакета в секунда).

Писах им с прикрепен горния шот, засега няма отговор, ще видим.

Май трябваше да пиша в темата за кулбокс, там повече влизат от съпорта, но мислех, че е нормално, но май засега само при тях се наблюдава от скромния ми feedback от познати. Ако е нормално, да кажат и ще се успокоим . Но такъв постоянен почти 10КБ/с трафик... надали е много нормално, според мен. Преди го нямаше, поне нерядко гледах медиата и при липса на трафик от ЛАН-а, почти не мигваше LED-a.

Edit: Днес (тази сутрин) гледам едно 10-тина пъти надолу е честотата на тези арпове, около 5kbit/s, т.е. около 300ppm като на моя познат. Ако той провери вечер, предполагам и при него ще скочат, т.е. предполагам вечер скачат, ще проследя.

P.S. Говорих с Кулбокс, явно е относително нормално, вкл. че имаше някакъв пик вчера (който продължи половин ден поне докато си легнах), който може да е предизвикан от друг потребител на интернет, нещо nmap алабала.. . Всъщност не знам откога и колко често е било последните дни, но скоро ъпдейтнах рутера, имаше и прекъсвания и т.н., иначе можеше и да не го забележа.

 

P.S2. Вече 2-3 дни наблюдавам по 2-3 пъти на ден поглеждам, вечер и през деня, засега не се е наблюдавало това, нещата са "под контрол" с 5-10 arp пакета в секунда, явно онова е било някакъв пик, следвал точно прекъсването на нета когато се наложи да рестартирам медиа конвертора. Аз нещо се бях притеснил да не е от мен причината или самия конвертор да мята арпове и нещо той да мизерства .

[Antares]

Също съм на кулбокс и... к'во да ти кажа. Аз съм с линукска машина за рутър - преди да се сетя да забраня ssh root достъпа имах от 15 до 30 хиляди опита за логване на денонощие Сложих един csf и като че ли са се поуспокоили нещата

 

[root@pesticide ~]# cat /var/log/messages |grep 'Firewall\:\ \*TCP\_IN Blocked\*' |grep 'Oct\ 17' |wc -l
2262

[root@pesticide ~]# cat /var/log/messages |grep 'Firewall\:\ \*TCP\_IN Blocked\*' |grep 'Oct\ 16' |wc -l
5411

[tedy]

Ама имаш ли подобни на моите arp пакети на входа?

С обикновена сапунерка май няма как да се наблюдават те, и сигурно затова и повечето хора не знаят ако/като имат такива, които да генерират някакъв почти постоянен трафик от някакви килобайти в сек.

[Antares]

Ами не съм снифил, честно казано.