ARP- und LLMNR-Floods von Windows 10-Host über Ethernet

1665
Tim G

Ich habe gerade eine Anomalie in meinem Netzwerk entdeckt, die vermutlich seit einiger Zeit anhält. Der Laptop meiner Frau (192.168.1.116, alias Sarahs-ROG.local) sendet ARPs für große Blöcke von IPs, die gesendet werden sollen, und fordert 192.168.1.103 bis 192.168.1.135. (Mein DHCP-Pool beginnt bei 192.168.1.100 und geht bis 149. Zufall?)

Dieser Verkehr wird von meinem PC (192.168.1.122) an einem anderen Switchport aufgezeichnet. Entdeckungs-Lunacy

Ich habe versucht, das Problem zu lösen, indem ich einige ihrer Windows 10-Netzwerksachen (Discovery, Heimnetzgruppe, Dateifreigabe und möglicherweise mehr) deaktiviert habe, aber nichts hat die Flut von ARPs und LLMNRs aufgehalten.

Was verursacht das?

BEARBEITEN: Die Handlung wird dicker! Es stoppt die ARP-Übertragungen an den oben genannten IPv4-Bereich, wenn ich meinen Canon-Drucker einschalte . Es setzt jedoch die gnadenlosen Angriffe der LLMNR fort.

0
Arp-Anforderungen werden erwartet, wenn sich an diesen Adressen Geräte befinden. Sind sie? Die LLMNR-Requets sehen aus, als hätten Sie im Browser "Proxy automatisch erkennen". Paul vor 8 Jahren 0
@Paul Nur wenige Geräte und nur etwa 10 zu einem bestimmten Zeitpunkt. Dieser Block wiederholt sich * ständig *, nicht nur einmal. Außerdem wurde eine Notiz zum Drucker hinzugefügt. Tim G vor 8 Jahren 0
Ok, es sieht also so aus, als würde der Canon-Druckertreiber auf dem Laptop nach einem Drucker suchen und stoppt, sobald er einen gefunden hat. Paul vor 8 Jahren 0
@Paul Ok, wenn du sagst, die Auto-Proxy-Sache hilft, ich sehe jetzt, dass es das ist, was es tut. Ich habe es in den Windows-Einstellungen deaktiviert und es wurde fortgesetzt, aber Chrome zu töten scheint es getan zu haben. Haben Sie eine Idee, wie Sie das missbräuchliche Netzwerk dieses Druckertreibers eindämmen können? Tim G vor 8 Jahren 0
IJ Network Scanner Selector EX war die Anwendung, um es zu lösen. Ich habe das Fenster Scannen von Vorgängen geöffnet und den Drucker deaktiviert. Viel besser jetzt. @ Paul, du hast meinen Dank für die Antwort hier; Machen Sie es sich zur Kenntnis, damit ich es akzeptieren kann, es sei denn, Sie können einen Kommentar als beste Antwort auswählen. Tim G vor 8 Jahren 0

1 Antwort auf die Frage

3
Paul

Das "wpad" am Ende der LLMNR-Anforderungen legt nahe, dass diese von der automatischen Proxy-Erkennung in den Interneteinstellungen oder in den Browsereinstellungen stammen. Es sucht nach einem Gerät mit dem Namen "wpad" und versucht, ein Proxy-Konfigurationsskript von dort herunterzuladen.

Die ARP-Anforderungen scheinen von der Drucker- / Scannersoftware zu stammen. Während der Drucker ausgeschaltet ist, durchsucht die Software das lokale Netzwerk, um den Scanner zu finden, und hört auf zu suchen, sobald der Drucker eingeschaltet wird.

Verwandte Probleme