Holen Sie sich viele ARP-Pakete vom Modem (5000 / sec). Warum?

302
sudo

Wir hatten zufällig Internetausfälle zu Hause, die ich zu diagnostizieren versuchte. Ungefähr einmal pro Woche (zufällig) wird es für einen halben Tag sehr unzuverlässig. Beim Pingen eines Servers fallen etwa 9/10 Pakete aus und die von mir getesteten Router erhalten manchmal eine DHCP-Lease für lange Zeit nicht.

Es ist im Moment unzuverlässig. Mein Ubuntu-Laptop hat direkt an das Modem angeschlossen und lief tcpdump. Ich sah viele ARP-Pakete von verschiedenen Routern im Subnetz und so ziemlich nichts anderes. In einigen Fällen wurde eine DHCP-Anfrage von meinem Laptop ohne Antwort angezeigt. Tcpdump für eine Weile jede Sekunde beobachtet. Pro Sekunde werden etwa 5000 ARP-Pakete empfangen . Ist das irgendwo annähernd normal?

Ich habe den Verdacht, dass es mit dem Ausfall zusammenhängt und auch einen meiner Router zum Absturz bringt, da ich normalerweise nicht auf die Web-Setup-Seite zugreifen kann, während er mit dem Modem verbunden ist. IDK, was der ISP-Unterstützung zu sagen ist. Die Mitarbeiter des Telefonsupports wissen nicht, was ein "Paket" ist, und das Problem verschwindet immer, wenn sie einen Techniker schicken können (obwohl der Techniker zuletzt noch nicht einmal einen Ethernet-Anschluss an seinem Computer hatte, mit dem er testen konnte). .

0
Klingt eher nach jemandem, der Ihr Netzwerk scannt. Barmar vor 6 Jahren 0
@Barmar Das gesamte Netzwerk des ISP unter dem ersten Hop-Router? Die ARP-Pakete geben an, jedes Mal auf eine andere IP-Adresse zu antworten, und ich weiß nicht, warum sie das tun. Es sieht so aus, als würden Tonnen von Routern im Netzwerk bei jedem DDoS ausführen, aber das scheint sinnlos zu sein. sudo vor 6 Jahren 0
Die ARP-Anfragen kommen nicht von der Router-IP? Wenn es sich um ein Kabelmodem handelt, können sich mehrere IP-Subnetze auf demselben Kabelknoten befinden, sodass der Router über mehrere IPs verfügt und für jedes ARP die entsprechende Adresse verwendet. Barmar vor 6 Jahren 0
Es klingt also so, als würde jemand versuchen, Ihren ISP mit DDOS zu verbinden. Barmar vor 6 Jahren 0
@ Barmar Sie kommen von den IP-Adressen anderer Router in demselben Subnetz wie die Adresse, die ich normalerweise bekomme. Zur Verdeutlichung teste ich, dass mein Laptop direkt mit dem Modem verbunden ist und nicht über meinen eigenen Router. sudo vor 6 Jahren 0
Dies deutet darauf hin, dass jemand Pakete mit gefälschten Quell-IPs an diese Router sendet und sie versuchen, auf sie zu antworten, was dazu führt, dass sie zuerst ARP-Broadcasts senden müssen. Idealerweise sollte der ISP am Kopfende einen Filter haben, der solche Pakete blockiert. Aber vielleicht werden entführte Computer in Ihrem Subnetz dazu verwendet, die ursprünglichen Pakete zu senden, sie wären von einem solchen Filter nicht betroffen. Barmar vor 6 Jahren 0
Ich weiß nicht wirklich, was am Ende passiert ist. Ich habe den Paket-Spam nicht mehr gesehen. IT-Typ hat unser Modem ersetzt. Das interne Netzwerk hatte auch andere Probleme, da sich ein anderes Gerät als Router mit der Adresse 192.168.1.1 identifizierte. Was für ein Chaos. sudo vor 6 Jahren 0

1 Antwort auf die Frage

1
davidgo

Man kann nur vermuten, warum es passiert. Meines ist, dass die Server des ISPs-Radius (Authentifizierung) nicht ordnungsgemäß funktionieren.

Ich erwarte, dass dies DHCP bricht (was sich wie gegeben anhört). Der arp-Datenverkehr ist wahrscheinlich ein Computer, der versucht, Datenverkehr für das breitere Internet auf der WAN-Schnittstelle zu finden, da es kein Gateway gibt. Es ist nicht richtig, aber es ist wahrscheinlich eine Nebenwirkung der ISP-Probleme und DHCP-Ausfälle.

Er hat seither klargestellt, dass die ARP-Pakete anscheinend von anderen Kundenroutern stammen, nicht vom Head-End-Router. Hört sich nicht nach einem Radiusproblem an. Barmar vor 6 Jahren 0

Verwandte Probleme