Archief - De topics van lang geleden

Storm van ARP broadcast naar iedere host in het netwerk ?!

11-09-2003, 09:43 door Rogier Mulder, 18 reacties
Zojuist iets gezien wat ik nooit eerder heb gezien maar waarvan ik vermoed dat het niet in orde is.

Op laptop die aan het KPN GPRS netwerk hangt merkte ik dat de laptop constant netwerkverkeer genereerde. Nadere analyse bracht aan het licht dat iets op de laptop een ARP broadcast deed voor ieder IP address in het netwerk; beginnend bij het eerste adres, ARP na ARP na ARP.

Norton Antivirus gaf geen melding met de virusdata van 4/9/2003. Het gedrag is ook nog niet reproduceerbaar: het treedt af en toe op (nu al zo'n 6 keer waargenomen). Na een reboot komt het terug of niet.

Wat zou dit kunnen veroorzaken?

grtjs rgr
Reacties (18)
11-09-2003, 11:47 door Anoniem
Klinkt idd erg vreemd, kan je niet wat van de log laten zien ?
11-09-2003, 12:02 door Anoniem
is deze laptop nieuw in het netwerk? arp is normaal gesproken een manier van een pc om te achterhalen welke hosts (pc's) aan een netwerk hangen als deze niet in de hostfile zijn opgenomen.
zgn ARP-request.
het is niet meer dan vragen "wie ben jij".....

correct me if i'm wrong....
11-09-2003, 12:31 door Anoniem
"correct me if i'm wrong"

ARP entries staan niet in de hostfiles. In de hostfile staan ip-adressen met de corresponderende hostnames.

ARP wordt gebruikt om het MAC adres van een netwerk kaart te achterhalen aan de hand van een ip-adres (en vice versa, dit heet RARP).

http://rfc-1044.rfclist.org/rfc-1044-36.htm

Had je al geprobeerd om een andere driver voor je NIC te gebruiken, of te updaten ?

Cheers,

Wouter
11-09-2003, 13:22 door Anoniem
Ik heb er ook last van denk ik .. de load op de firebox is enorm en internet is traag als ik weet niet wat . Zou het ermee te maken kunnen hebben ?
11-09-2003, 14:15 door Rogier Mulder
driver: ga ik zeker proberen want echt andere opties heb ik niet.

ook last van: meten is weten; installeert ethereal (http://www.ethereal.com) en kijk waar je last van hebt.

hostfile: onzin; ARP heeft een andere functie nm. het achterhalen van een MAC adres
11-09-2003, 16:02 door Anoniem
ARP cache probleem? Veel ARP verkeer kan duiden op een verkeerd subnetmask, om de zoveel tijd een serie ARP broadcasts misschien de ARP cache.

P.S. RARP is volgens mij overigens niet een omgekeerde versie van ARP maar de voorloper van BOOTP wat weer de voorloper was van DHCP.
11-09-2003, 16:21 door Rogier Mulder
Wat maakt een subnet mask verkeerd???

De DHCP servers van KPN Telecom geven je een adres in 62/8. Deze instelling verdiend geen schoonheidsprijs want ook Energis dail-up in de UK valt binnen deze range van Netvision. Maar is dit nu _verkeerd_ ?

grtjs rgr
11-09-2003, 16:31 door Anoniem
Als jij een ander subnetmask gebruikt dan je vriendjes om je heen dan is dat verkeerd. Maar met DHCP is er weinig kans dat dat dan fout staat.
11-09-2003, 17:03 door Anoniem
"P.S. RARP is volgens mij overigens niet een omgekeerde versie van ARP maar de voorloper van BOOTP wat weer de voorloper was van DHCP"

lees dit maar:

http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc0903.html

Wouter
11-09-2003, 21:08 door Anoniem
I rest my case: "This RFC suggests a method for workstations to dynamically find their protocol address (e.g., their Internet Address), when they know only their hardware address (e.g., their attached physical network address). "

Kan het duidelijker zijn? Lees ik hier een soort van beginnende versie van DHCP?

Verder lees je dat er een RARP server nodig is. Als je meer van RARP wil weten: lees de RFC, en kijk daarna eens op www.whatis.com...
Rfc's zijn niet altijd duidelijk over wat ze doen, maar lees niet over de eerste regel heen.
11-09-2003, 22:17 door knownocode
Rogier, wel vreemd... toevallig zit ik momenteel ergens bij een bedrijf applicaties te scripten, zit met een probleem met het vinden van de licentieserver, kijk dus met ethercap meuk naar welke poort gebruikt wordt zodat ik dat kan laten instellen op de router cq switch en wat schetst mijn verbazing... allemaal arp requests... opeenvolgende ip's.
Schiet mij maar lek. Novell 6 omgeving met XP clients...
12-09-2003, 07:20 door Anoniem
De symptomen lijken erg op die van de Blaster worm (of familie, zoals W32.Welchia). Deze scannen het netwerk middels ICMP om actieve hosts te vinden, die ze vervolgens proberen te scannen.
12-09-2003, 08:58 door knownocode
Zat ik later ook inderdaad aan te denken, ik kan het testen... mits ik vandaag de tijd heb. Hier hebben we ongetwijfeld wel wat machines die niet up-to-date zijn. De oplossing hier was het blokkeren van poorten en daarna de kop weer in het zand, maar de arp's die die machines uitvoeren is dan weer een ander verhaal... grappig.
12-09-2003, 09:43 door ijdod
Grappig inderdaad. Die scan kan een router aardig op z'n knieen krijgen door die ARP requests (die dus door de router gedaan moeten worden voor remote netwerken)
12-09-2003, 12:40 door Anoniem
Ettercap

Als je met ettercap zit te kloten is het ook niet zo gek dat je een arp broadcast op je netwerk ziet.
Ettercap doet namelijk eerst een arp broadcast binnen het subnet waarin je zit, om zo alle host te identificeren die actief zijn (deze reageren met hun mac adres).
Ettercap wordt trouwens veel gebruikt voor het sniffen in geswitchte netwerken omdat je met deze sniffer een arp poisening kunt uitvoeren.
Je houd je slachtoffer namelijk in de maling door hem een arp pakketje (acknowledge met jouw mac gekoppeld aan ip van de gateway) te sturen, waarin je hem vertelt dat jij de gateway bent en zodoende stuurt deze pc al zijn uitgaande verkeer langs jouw heen.

http://ettercap.sourceforge.net/index.php?s=screenshots

Cornelis
18-12-2003, 09:53 door Anoniem
wat is die fuking broadcast dan
18-12-2003, 20:15 door Anoniem
Als dit nog niet is opgelost, zou ik maar deze Laptop
ogenblikkelijk van het netwerk loskoppelen en aan een uitgebreid
onderzoek onderwerpen.
19-12-2003, 12:30 door Anoniem
XP..... magic lantern.... ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.