Windows XP Home gibt etwa 20 ARP-Anfragen pro Sekunde aus

2771
ongle

Ich wurde gebeten, den Computer eines Familienmitglieds aus der Ferne zu reparieren, der "langsam" läuft. Ich habe sie eine beliebige Anzahl von S & D- und AVG-Scans ausführen lassen, selbst im abgesicherten Modus, aber sie finden nichts Interessantes. Bei der Verwendung der Remoteunterstützung habe ich Wireshark installiert und festgestellt, dass die Box bis zu 20 ARP-Anforderungen pro Sekunde ausgibt, meistens für ihr lokales Subnetz (direkt mit dem WebSTAR 2000-USB-Kabelmodem verbunden), wie in der nachstehenden Grafik dargestellt.

Die IP-Adresse war zu diesem Zeitpunkt 70.119.184.xx / 255.255.240.0. Das Standard-Gateway war 70.119.176.1 und der DHCP-Server war 10.212.0.1.

Ist es möglich, dass dies legitimer Verkehr ist, oder ist dies ein Symptom eines Wurmes wie WootBot, der versucht, sich zu verbreiten?

WireShark erfassen

EDIT: Ich denke, die Maschine ist mit Trojan.Opachki oder etwas ähnlichem infiziert.

BEARBEITEN: Der ARP-Datenverkehr wird tatsächlich an anderer Stelle beschafft und ist daher kein Problem mit der betreffenden Maschine. Es gab Anzeichen für eine Opachki-Infektion, aber ich denke, das ist geklärt. Ich werde ihn nächstes Weihnachten für einen Router ablegen.

2
Denjenigen, die zu einem Superuser gewechselt haben, habe ich sie hier veröffentlicht, weil ich Antworten von Leuten wollte, die sich mit ARP auskennen. Ich glaube nicht, dass ich diese Art von Antwort auf Superuser finden werde. ongle vor 14 Jahren 0
Wie kann Ihr Gateway 10.212.0.1 sein, wenn Ihr Netzwerk 70.119.184.xx ist? Ihr Rechner müsste eine statische Route zum Standard-Gateway haben, was wenig Sinn macht ... Ist das wirklich so, wie es eingerichtet ist? Wenn ja, über welche IP-Adresse wird das Netzwerk 70.119.184.xx geleitet? Es scheint wahrscheinlicher, dass 70.119.176.1 das Standard-Gateway ist, da dies die erste verfügbare IP im Subnetz 70.119.184.xx / 20 wäre ... Scott Lundberg vor 14 Jahren 1
Entschuldigung, 10.212.0.1 ist der DHCP-Server. Ich habe mich verlegt :( ongle vor 14 Jahren 0

3 Antworten auf die Frage

4
joeqwerty

Um keine Partei zu sein, ist die Größe des Subnetzes für die Anzahl der ARP-Übertragungen pro Sekunde unerheblich. Nur weil ein Subnetz für x Anzahl von Hosts groß genug ist, bedeutet dies nicht, dass ein Host ARP für x IP-Adressen in diesem Subnetz verwendet. Ein Host sendet ein ARP-Paket, wenn ein Paket an einen anderen Host gesendet werden muss. Das einzige Mal, wenn ein Host ARP für x Anzahl von IP-Adressen in seinem Subnetz (oder eine große Anzahl von IP-Adressen in seinem Subnetz) ausführt, ist, wenn er den IP-Adressbereich (mit einem IP-Scan-Programm) nach seinem Subnetz durchsucht, mit dem er infiziert ist Malware oder hat einen fehlerhaften NIC- oder NIC-Treiber. Zu keinem anderen Zeitpunkt sendet ein Host normalerweise eine große Anzahl von ARP-Paketen wie das, was Sie sehen. Außerdem sendet ein Host kein ARP-Paket für eine IP-Adresse, die nicht vorhanden ist. '

Sie haben 5 Hosts, die ARP-Pakete im Netzwerk senden:

10.212.0.1 - Dies scheint normal zu sein. Dies ist das Standardgateway, und Ihr Screenshot enthält nur ein ARP-Paket. Das Standardgateway sendet ARP-Pakete an das Netzwerk, wenn der Verkehr an einen internen Host weitergeleitet werden muss und die MAC-Adresse der Hosts nicht im ARP-Cache enthalten ist (wie jedes andere Netzwerkgerät).

24.170.135.1 - Ich verstehe das nicht. Dies ist eine nicht lokale IP-Adresse. Woher kommt es? Haben Sie mehrere Netzwerke miteinander verbunden? Verfügt ein Computer über mehrere NICs, die an mehrere Netzwerke oder mehrere Verbindungen angeschlossen sind, beispielsweise eine VPN-Verbindung usw.

24.233.137.1 - Auch dies ist eine nicht lokale IP-Adresse.

70.119.248.1 - Dies ist wahrscheinlich normal, obwohl die IP-Adressen, für die es ARP'ing ist, ein wenig fehl am Platz erscheinen. Sie befinden sich im selben Subnetz, sind jedoch weit entfernt von dem, was ich als normales IP-Adressierungsschema bezeichnen würde.

70.119.176.1 - Dies ist der, der mich beunruhigt, da er den Großteil der ARP-Pakete sendet. Ich vermute, dass hier entweder ein Subnet-Scan für alle IP-Adressen im Subnetz durchgeführt wird, er ist mit Malware infiziert oder er hat einen fehlerhaften NIC- oder NIC-Treiber.

ARP-Floods (was Sie meiner Meinung nach zu tun haben) sind in einem Netzwerk nicht normal. ARP-Broadcasts mit mehr als 3 bis 5% des gesamten Netzwerkverkehrs sind ein sehr guter Hinweis darauf, dass etwas nicht stimmt.

BEARBEITEN

Nachdem Sie Ihre Frage mit den letzten Änderungen erneut gelesen haben, habe ich eine andere Meinung zu dem, was los ist: Wenn 70.119.176.1 das Standard-Gateway für das Netzwerk ist und es den Hauptteil der ARP-Anfragen für Adressen im Subnetz sendet, Dann denke ich, dass jemand außerhalb von Ihnen einen IP-Adress- / Port-Scan für Ihr Netzwerk durchführt und Ihre Firewall dies nicht blockiert. Für jede geprüfte IP-Adresse sendet Ihr Standardgateway eine ARP-Anforderung, um einen Host auf der geprüften IP-Adresse zu finden. Verfügt Ihre Firewall, Ihr Router oder Ihr Modem über ein Protokoll, das Sie anzeigen können?

Ich verstehe immer noch nicht, woher die 24.xxx-Adressen stammen.

Doh 10.212.0.1 Standardgateway war ein Tippfehler, d. H. Der DHCP-Server. Ich bin sicher, dass es das lokale Subnetz scannt, aber aus welchem ​​Grund (ich sehe niemals andere Pakete nach dem Scan) weiß ich nicht. Ich denke, es könnte mit Trojan.Opachki infiziert sein. Vielen Dank für Ihr Feedback. Es hat mir geholfen zu wissen, dass dies nicht normal war. ongle vor 14 Jahren 0
Ich bezweifle, dass der DHCP-Server das Netzwerk scannt. Es ist mehr als wahrscheinlich, dass er versucht, auf ein DHCP-Lease-Erneuerungspaket um 10.212.14.2 vom Gerät zu antworten. vor 14 Jahren 0
+1 für die Bearbeitung: Ich stimme zu. Der Standardrouter sucht nach anderen Knoten im Netzwerk, um darauf zu antworten. Da sich der Computer Ihres Familienmitglieds in diesem Netzwerk befindet, werden die arp-Anforderungen angezeigt, jedoch nicht unbedingt die arp-Antwort. Der andere Massen-Arper ist wahrscheinlich auch irgendein Wurm. Da jedoch kein Datenverkehr vom Computer Ihres Familienmitglieds erzeugt wird, würde ich sicherstellen, dass die Virenscanner und / oder Firewalls auf dem neuesten Stand sind. sonst würde ich mir keine sorgen machen. David Mackintosh vor 14 Jahren 0
@Joeqwerty, du hast recht, ich hätte die MAC-Adressen überprüfen sollen. Die ARP-Paketquelle ist das Standardgateway, nicht die des lokalen Computers. ongle vor 14 Jahren 0
0
3dinfluence

Wenn der Computer direkt mit dem Kabelmodem verbunden ist, werden Sie Hintergrundgeräusche bekommen. Insbesondere in einer Broadcast-Domäne ist dies eine / 20, die rund 4.1k-Hosts unterstützen kann. Ich bin mit diesem Modem nicht vertraut. Ist USB die einzige Möglichkeit, dieses an einen lokalen Host / ein lokales Netzwerk anzuschließen?

Ich empfehle immer, einen Router zwischen Ihrem Netzwerk und einer Breitbandverbindung zu installieren. Auch wenn das Netzwerk aus einem einzelnen Computer besteht. NAT wird unerwünschten Datenverkehr unterbinden, der als Firewall wirksam ist und verhindert, dass Würmer direkten Zugriff auf einen Computer erhalten. Dies ist besonders wichtig, wenn Sie von einem Windows-PC sprechen.

Natürlich hätte ich es nie so eingerichtet, aber es liegt außerhalb meiner Kontrolle. ongle vor 14 Jahren 0
-1

20 ARP pro Sekunde liegt sicherlich im Bereich des normalen Hintergrundrauschens für das / 20-Subnetz. Ich bin überrascht, dass es nicht höher ist. Im Allgemeinen sind ARP-Anfragen nicht selbst ein Zeichen dafür, dass sich ein Wurm verbreitet. Sie wissen gerade genug, um gefährlich zu sein, aber noch nicht genug, um den Netzwerkverkehr zu betrachten. Bleiben Sie dabei und stellen Sie Fragen, die Ihnen helfen, Ihr Werkzeug richtig einzusetzen.

Wie herablassend @Joe, danke dafür. Sie wissen sicher, wie Sie andere dazu ermutigen können, Fragen zu stellen. Wenn Sie wissen, wie gut Sie sich auskennen, können Sie erklären, warum die Maschine ARP-Suchvorgänge für so viele Adressen durchführt, wenn nicht versucht wird, auf sie zuzugreifen? Der arp-Cache enthält keine Einträge für diese Adressen. ongle vor 14 Jahren 1
@ongle: Siehe meine Antwort für eine Erklärung. vor 14 Jahren 0
Die Größe des Subnetzes ist für die Anzahl der an das Netzwerk gesendeten ARP-Pakete nicht relevant. Außerdem sind 20 ARP-Pakete pro Sekunde möglicherweise nicht normal. Wenn diese 20 ARP-Pakete pro Sekunde mehr als 3 bis 5% des gesamten Netzwerkverkehrs ausmachen, wäre ich etwas besorgt. vor 14 Jahren 0
@joeqwerty: Ich stimme nicht zu, dass die Größe des Subnetzes irrelevant ist. Je mehr Hosts sich in einem lokalen Subnetz befinden, desto mehr Arps werden Sie sehen. Nehmen Sie dieses Beispiel, wenn Sie davon ausgehen, dass jede Maschine alle 20 Minuten 1 Arp sendet (auf Standard-Gateway überprüfen). In einem voll beladenen Netzwerk der Klasse C wird alle 5 Sekunden ein ARP angezeigt. Führen Sie diese Rechnung für die 20-Bit-Maske im OP aus, und Sie sprechen jede Sekunde 3 ARPs. Scott Lundberg vor 14 Jahren 0
@Scott Lundberg: Das ist der Schlüssel, die Anzahl der tatsächlichen physischen Hosts im Subnetz. Wenn mein Subnetz 4.096 Hosts zulässt, ich aber nur sechs Hosts habe, ist die Größe des Subnetzes für die Menge des ARP-Verkehrs in meinem Netzwerk unerheblich. Ein größeres Subnetz ermöglicht die Möglichkeit einer größeren Broadcast-Domäne. Wenn ich jedoch nur wenige Hosts habe, ist es völlig egal, wie groß das Subnetz ist. Bei der OP würde ich bezweifeln, ob es mehr als ein halbes Dutzend Hosts im Netzwerk gibt. vor 14 Jahren 0
@Joeqwerty: Ich sehe wo du herkommst, aber ich würde vorsichtig sagen, dass es irrelevant ist. Scott Lundberg vor 14 Jahren 0
@Scott Lundberg: Guter Punkt. Ich hätte sagen sollen, dass es eine Funktion davon ist, wie viele tatsächliche Hosts sich im Subnetz befinden, oder etwas davon. vor 14 Jahren 0

Verwandte Probleme