mikkie 10 Geschrieben 17. August 2004 Melden Teilen Geschrieben 17. August 2004 Hallo, mein bisheriges Verständnis für ARP geht nicht weit genug um meine Frage zu klären... Wenn ich einen Rechner mit 195.230.188.x und dem Subnetz 255.255.255.0 habe, dann verstehe ich daß ich ARP Requests aus dem Netz 195.230.188.0 bekomme. Nun bekomme ich aber auch Requests zu 195.230.x.x und auch 82.x.x.x Sendet hier ein Router einfach wahllos alles weiter was ihm unterkommt? Die Requests kommen immer von derselben Mac Adresse, also sowohl die passenden 195.230.188.x, wie auch alle anderen 195.230.x.x und auch die für mich gar nicht mehr ins Bild passenden 82.x.x.x Bin ich falsch informiert daß ARP Requests normal nur aus dem selben Subnetz kommen sollten? mikkie Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 17. August 2004 Melden Teilen Geschrieben 17. August 2004 Eigentlich sollten die nur aus dem selben Subnetz kommen. Kannst du denn die MAC lokalisieren? Wenn ja dann lass mal nen Scanner drüberlaufen. Nicht das sich die betreffende Maschine was eingefangen hat. Ich kann mich da an nen Virus erinnern, der ARP-Requests durch's LAN gedroschen hat um sich weiter zu verteilen. Komm allerdings nicht auf den Namen. Vielleicht fällt er mir in zwei oder drei Kaffee wieder ein. :) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 17. August 2004 Melden Teilen Geschrieben 17. August 2004 ARP geht als Broadcast ins Netz, das stimmt, und normalerweise, sollte n Router das blocken bzw. der Sinn von ARP Broadcast ist genau der, dass die innerhalb des gleichen Subnetzes sind. Auch wenn das ein Virus wäre, kann mir nicht vorstellen, wie ARP in andere Netze kommt (ausser die Packete sind fake!). Zitieren Link zu diesem Kommentar
mikkie 10 Geschrieben 17. August 2004 Autor Melden Teilen Geschrieben 17. August 2004 Wie könnte man ein gefaktes ARP Paket erkennen? Das was mein Sniffer sagt sieht für mich zumindest aus wie ein normaler ARP Request. Wenn ich die Sender IP trace, führt mich das zu einem Server meines ISP. Kann man sagen ob der die Request nur unangesehen weitersendet oder kommen die Requests von dem Server selber? Hab hier einen kurzen Auszug von dem was sich auf meinem Rechner tut... Habe mir erlaubt die letze Oktett durch ein x zu ersetzen, die Anfrage kommt laut Sniffer jeweils von der x.x.x.1. Frame Status Source Address Dest. Address Size Rel. Time Delta Time Abs. Time Summary 1521 000ED6BF9070 Broadcast 60 0:03:23.694 0.073.003 16.08.2004 08:41:34 ARP: C PA=[82.149.105.x] PRO=IP 1522 000ED6BF9070 Broadcast 60 0:03:23.982 0.288.027 16.08.2004 08:41:34 ARP: C PA=[195.230.179.x] PRO=IP 1523 000ED6BF9070 Broadcast 60 0:03:24.312 0.329.959 16.08.2004 08:41:34 ARP: C PA=[195.230.179.x] PRO=IP 1524 000ED6BF9070 Broadcast 60 0:03:24.484 0.172.050 16.08.2004 08:41:35 ARP: C PA=[195.230.175.x] PRO=IP 1525 000ED6BF9070 Broadcast 60 0:03:24.556 0.071.567 16.08.2004 08:41:35 ARP: C PA=[82.149.105.x] PRO=IP 1526 000ED6BF9070 Broadcast 60 0:03:24.674 0.118.351 16.08.2004 08:41:35 ARP: C PA=[82.149.105.x] PRO=IP 1527 000ED6BF9070 Broadcast 60 0:03:25.580 0.906.093 16.08.2004 08:41:36 ARP: C PA=[195.230.175.x] PRO=IP 1528 000ED6BF9070 Broadcast 60 0:03:25.983 0.402.108 16.08.2004 08:41:36 ARP: C PA=[195.230.179.x] PRO=IP 1529 000ED6BF9070 Broadcast 60 0:03:26.072 0.089.920 16.08.2004 08:41:36 ARP: C PA=[195.230.188.x] PRO=IP Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 17. August 2004 Melden Teilen Geschrieben 17. August 2004 Dann würde ich sagen, wende dich vrtrauensvoll an deinen ISP und versucht gemeinsam herauszufinden, was da passiert. So ganz koscher ist das nicht, wenn der ISP arp't wie sonstwas. Zitieren Link zu diesem Kommentar
mikkie 10 Geschrieben 17. August 2004 Autor Melden Teilen Geschrieben 17. August 2004 Die Kommunikation mit dem ISP ist leider nicht ganz einfach, gab viele Leute die sich über zuviel Traffic beschwert haben, die recht lapidare Antwort war man soll sein System auf Spyware prüfen, von Ihrer Seite sei alles in Ordnung. Von ARP Requests wollten die gar nichts wissen. Bevor ich da also nochmal Anfrage wollt ich mich so gut wie möglich erkundigen ob das irgendwie erklärlich ist oder der Fehler an meinem Rechner liegen könnte... Meine Erfahrungen mit ARP Requests waren vorher kaum vorhanden :-) Können die Requests von irgendwoher kommen, also eben in die Richtung Virus/Portscan u.ä. und beim Provider "nur" der Fehler liegen daß die Requests weitergeleitet werden? Kann man anhand der obigen Daten zumindest mal ausschließen daß mein Rechner da schuld daran ist? Zitieren Link zu diesem Kommentar
eckardt 10 Geschrieben 17. August 2004 Melden Teilen Geschrieben 17. August 2004 ich kann mich noch errinern dass es auch ARP-Request anforderungen gibt, welche nicht Netzgebunden sind. Es handelt sich hierbei um Proxy-ARP. Ich habe in Internet nachgeschaut und etwas gefunden, vielleicht hilft es weiter "Da es sich bei ARP-Paketen um Broadcasts handelt werden sie nicht geroutet, sondern bleiben in dem Netz, in dem sie abgesandt wurden. Damit man trotzdem noch mit Rechnern in anderen Netzsegmenten reden kann nimmt man etwas namens Proxy-ARP. Dabei macht der Router einen entsprechenden Eintrag in seinen ARP-Cache und sendet alle Pakete für Rechner in dem entsprechenden Netz dorthin. Auf diese Art können LANs transparent verbunden werden." Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.