|
| ARP requests Fra : Jacob Atzen |
Dato : 18-09-03 15:44 |
|
Hej NG,
På det lokale lan får jeg omkring 1000 arp requests i
sekundet. Tilsyneladende står der nogen maskiner og spørger
sekventielt efter IP-adresser. Udsnit af output fra tcpdump:
16:43:19.810737 arp who-has 10.2.17.211 tell xxxxxxx
16:43:19.812642 arp who-has 10.2.17.212 tell xxxxxxx
16:43:19.848192 arp who-has 10.2.17.213 tell xxxxxxx
16:43:19.849843 arp who-has 10.2.17.214 tell xxxxxxx
Og så fremdeles. Jeg antager, at det er vira eller orme der spytter
disse ud i stride strømme. Kan jeg gå ud fra, at denne antagelse er
korrekt? Og i så fald, hvilke vira eller orme opfører sig på denne
måde?
--
Med venlig hilsen
- Jacob Atzen
| |
Lars Hansen (18-09-2003)
| Kommentar Fra : Lars Hansen |
Dato : 18-09-03 19:54 |
|
"Jacob Atzen" <jacob@aub.dk> skrev i en meddelelse
news:871xueqhqd.fsf@morpheus.aub.dk...
>
> Og så fremdeles. Jeg antager, at det er vira eller orme der spytter
> disse ud i stride strømme. Kan jeg gå ud fra, at denne antagelse er
> korrekt? Og i så fald, hvilke vira eller orme opfører sig på denne
> måde?
Det kan være hvad som helst, der står og scanner netværket for IP adresser.
Dvs. lige fra en orm, til noget overvågningssoftware der står og leder efter
maskiner på det lokale netværk (det går jeg ud fra at du ved det ikke er).
De mange ARP requests er næppe målet i sig selv, men snarere et symptom på,
at der sker et eller andet.
Jeg tror, at du er nødt til at se lidt mere på trafikmønstret for de
pågældende maskiner, for at kunne finde et svar. Hvad er der ellers af
traffik på netværket?
Mvh.
Lars
| |
Christian E. Lysel (18-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-09-03 22:16 |
|
In article <871xueqhqd.fsf@morpheus.aub.dk>, Jacob Atzen wrote:
> På det lokale lan får jeg omkring 1000 arp requests i
> sekundet. Tilsyneladende står der nogen maskiner og spørger
Trist, er det på AUC's LAN?
> Og så fremdeles. Jeg antager, at det er vira eller orme der spytter
> disse ud i stride strømme. Kan jeg gå ud fra, at denne antagelse er
> korrekt? Og i så fald, hvilke vira eller orme opfører sig på denne
> måde?
Måske.
Prøv evt. at svarer på arp forspørgelserne, for at se
om de bliver brugt til noget...hvis du derefter så sessioner til
din tcp/ip stak kan du forsøge at starte en lister som "nc".
| |
Jacob Atzen (19-09-2003)
| Kommentar Fra : Jacob Atzen |
Dato : 19-09-03 11:45 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
> In article <871xueqhqd.fsf@morpheus.aub.dk>, Jacob Atzen wrote:
> > På det lokale lan får jeg omkring 1000 arp requests i
> > sekundet. Tilsyneladende står der nogen maskiner og spørger
>
> Trist, er det på AUC's LAN?
Jeg tror du har fejllæst min e-mail adresse
> > Og så fremdeles. Jeg antager, at det er vira eller orme der spytter
> > disse ud i stride strømme. Kan jeg gå ud fra, at denne antagelse er
> > korrekt? Og i så fald, hvilke vira eller orme opfører sig på denne
> > måde?
>
> Måske.
>
> Prøv evt. at svarer på arp forspørgelserne, for at se
> om de bliver brugt til noget...hvis du derefter så sessioner til
> din tcp/ip stak kan du forsøge at starte en lister som "nc".
Hvor kan jeg finde ud af, hvordan jeg svarer på arp? Hvilket software
findes til Linux, der kan gøre det?
--
Med venlig hilsen
- Jacob Atzen
| |
Peter Mogensen (19-09-2003)
| Kommentar Fra : Peter Mogensen |
Dato : 19-09-03 11:53 |
|
Jacob Atzen wrote:
> Hvor kan jeg finde ud af, hvordan jeg svarer på arp? Hvilket software
> findes til Linux, der kan gøre det?
Det skulle TCP/IP-stakken gerne gøre for dig.
Du kan måske manipulere lidt med hvad den gør via arp(7)
Peter
| |
Christian E. Lysel (19-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 19-09-03 13:58 |
|
In article <87wuc5njjs.fsf@morpheus.aub.dk>, Jacob Atzen wrote:
> Jeg tror du har fejllæst min e-mail adresse
Tastede forkert, mente AUB, hils Isaksen hvis han stadigvæk bor der :)
> Hvor kan jeg finde ud af, hvordan jeg svarer på arp? Hvilket software
> findes til Linux, der kan gøre det?
man ifconfig
Jeg har ikke en Linux maskine jeg lige kan slå op i.
| |
Morten Isaksen (20-09-2003)
| Kommentar Fra : Morten Isaksen |
Dato : 20-09-03 13:43 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbmlvbc.pog.chel@weebo.dmz.spindelnet.dk...
> In article <87wuc5njjs.fsf@morpheus.aub.dk>, Jacob Atzen wrote:
> > Jeg tror du har fejllæst min e-mail adresse
>
> Tastede forkert, mente AUB, hils Isaksen hvis han stadigvæk bor der :)
Det gør han.
/Morten
| |
Kasper Dupont (19-09-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 19-09-03 23:59 |
|
Jacob Atzen wrote:
>
> Hvor kan jeg finde ud af, hvordan jeg svarer på arp? Hvilket software
> findes til Linux, der kan gøre det?
Under normale omstændigheder er det IP implementationen i kernen, der
sender arp svarene. Du kan f.eks. tilføje en eller flere IP adresser
til dit netkort. F.eks.
ifconfig eth0:xxx 10.1.2.3
ifconfig eth0:noget 10.4.5.6
ifconfig eth0:mere 10.7.8.9
Alternativt kan du bruge software, som automatisk overtager alle
ubrugte IP'er på lokalnettet. Der er lavet et program rettet mod
Nimda og Codered, som lader dem oprette TCP forbindelser til ikke
eksisterende hosts og dermed forhåbentlig laver et DoS angreb mod
ormen. Det hed noget i retning af LaBrea.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Klaus Alexander Seis~ (20-09-2003)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 20-09-03 07:17 |
|
Kasper Dupont skrev:
> Der er lavet et program rettet mod Nimda og Codered, som lader dem
> oprette TCP forbindelser til ikke eksisterende hosts og dermed for-
> håbentlig laver et DoS angreb mod ormen. Det hed noget i retning af
> LaBrea.
Opkaldt efter tjærepølene Rancho La Brea¹ i Los Angeles. Softwaren
bor på SourceForge: < http://labrea.sf.net/>.
// Klaus
¹) Se < http://www.tarpit.org/>
--
><> unselfish actions pay back better
| |
Sune Gellert (19-09-2003)
| Kommentar Fra : Sune Gellert |
Dato : 19-09-03 07:51 |
|
"Jacob Atzen" <jacob@aub.dk> skrev i en meddelelse
news:871xueqhqd.fsf@morpheus.aub.dk...
> Hej NG,
>
> På det lokale lan får jeg omkring 1000 arp requests i
> sekundet. Tilsyneladende står der nogen maskiner og spørger
> sekventielt efter IP-adresser. Udsnit af output fra tcpdump:
>
> 16:43:19.810737 arp who-has 10.2.17.211 tell xxxxxxx
> 16:43:19.812642 arp who-has 10.2.17.212 tell xxxxxxx
> 16:43:19.848192 arp who-has 10.2.17.213 tell xxxxxxx
> 16:43:19.849843 arp who-has 10.2.17.214 tell xxxxxxx
>
Dette gør visse dhcp servere også, så xxxxxx er måske en sådan ?
/Sune
| |
Jacob Atzen (19-09-2003)
| Kommentar Fra : Jacob Atzen |
Dato : 19-09-03 11:44 |
|
"Sune Gellert" <sunegellert@hotmail.com> writes:
> "Jacob Atzen" <jacob@aub.dk> skrev i en meddelelse
> news:871xueqhqd.fsf@morpheus.aub.dk...
> > Hej NG,
> >
> > På det lokale lan får jeg omkring 1000 arp requests i
> > sekundet. Tilsyneladende står der nogen maskiner og spørger
> > sekventielt efter IP-adresser. Udsnit af output fra tcpdump:
> >
> > 16:43:19.810737 arp who-has 10.2.17.211 tell xxxxxxx
> > 16:43:19.812642 arp who-has 10.2.17.212 tell xxxxxxx
> > 16:43:19.848192 arp who-has 10.2.17.213 tell xxxxxxx
> > 16:43:19.849843 arp who-has 10.2.17.214 tell xxxxxxx
> >
>
> Dette gør visse dhcp servere også, så xxxxxx er måske en sådan ?
Nej. Det er en klient. Desuden kommer disse requests fra adskillige
maskiner.
--
Med venlig hilsen
- Jacob Atzen
| |
Christoffer Olsen (19-09-2003)
| Kommentar Fra : Christoffer Olsen |
Dato : 19-09-03 09:09 |
|
Jacob Atzen <jacob@aub.dk> writes:
> Og så fremdeles. Jeg antager, at det er vira eller orme der spytter
> disse ud i stride strømme. Kan jeg gå ud fra, at denne antagelse er
> korrekt? Og i så fald, hvilke vira eller orme opfører sig på denne
> måde?
Jeg tror at det er msblaster.
--
Mvh
Christoffer Olsen
http://my.opera.com/dev/discussion/openweb/20030206/
| |
|
|