Neustávající ARP requesty [vyřešeno]

[Firzen]

Dobrý den,

z ničeho nic mi počítač s Debianem začal neustále stahovat rychlostí 14 KBps. Přetrvává to i po restartu.
Zkoušel jsem identifikovat, který proces stahuje pomocí netstat -anp, pak taky pomocí iftop + netstat -ang | grep nalezené_možnosti.
Nicméně i po vypnutí všech procesů, které stahovaly to stále neustalo.

Nevíte, jak bych měl zjstit, co se vlastně děje?

[jmp]

sudo tcpdump ?
ono ne kazdy prichozi paket je vysledkem stahovani...

[Firzen]

Kód: [Vybrat]

19:23:28.021720 ARP, Request who-has 10.148.19.179 tell 172.26.0.123, length 46
19:23:28.021957 ARP, Request who-has 10.149.19.185 tell 172.26.0.123, length 46
19:23:28.023140 ARP, Request who-has 10.148.19.180 tell 172.26.0.123, length 46
19:23:28.023563 ARP, Request who-has 10.149.19.186 tell 172.26.0.123, length 46
19:23:28.024302 ARP, Request who-has 10.149.19.187 tell 172.26.0.123, length 46
19:23:28.024442 ARP, Request who-has 10.149.19.188 tell 172.26.0.123, length 46
19:23:28.024572 ARP, Request who-has 10.148.19.181 tell 172.26.0.123, length 46
19:23:28.024917 ARP, Request who-has 10.149.19.189 tell 172.26.0.123, length 46
19:23:28.025646 ARP, Request who-has 10.148.19.182 tell 172.26.0.123, length 46
19:23:28.026168 ARP, Request who-has 10.149.19.190 tell 172.26.0.123, length 46
19:23:28.026242 ARP, Request who-has 10.148.19.183 tell 172.26.0.123, length 46
19:23:28.026813 ARP, Request who-has 10.148.19.184 tell 172.26.0.123, length 46
19:23:28.027521 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.43068: 28968 NXDomain 0/1/0 (121)
19:23:28.027644 IP 191-96.kolejnet.upol.cz.41728 > ns-kolejnet.upol.cz.domain: 61210+ PTR? 179.19.149.10.in-addr.arpa. (44)
19:23:28.027736 ARP, Request who-has 10.148.19.185 tell 172.26.0.123, length 46
19:23:28.027976 ARP, Request who-has 10.149.19.191 tell 172.26.0.123, length 46
19:23:28.029145 ARP, Request who-has 10.148.19.186 tell 172.26.0.123, length 46
19:23:28.034083 IP 191-96.kolejnet.upol.cz.37979 > ns-kolejnet.upol.cz.domain: 44555+ PTR? 174.19.148.10.in-addr.arpa. (44)
19:23:28.040808 IP 191-96.kolejnet.upol.cz.60374 > ns-kolejnet.upol.cz.domain: 60207+ PTR? 180.19.149.10.in-addr.arpa. (44)
19:23:28.047202 IP 191-96.kolejnet.upol.cz.59019 > ns-kolejnet.upol.cz.domain: 46540+ PTR? 181.19.149.10.in-addr.arpa. (44)
19:23:28.053505 IP 191-96.kolejnet.upol.cz.44277 > ns-kolejnet.upol.cz.domain: 25435+ PTR? 182.19.149.10.in-addr.arpa. (44)
19:23:28.060634 IP 191-96.kolejnet.upol.cz.58832 > ns-kolejnet.upol.cz.domain: 49527+ PTR? 175.19.148.10.in-addr.arpa. (44)
19:23:28.067038 IP 191-96.kolejnet.upol.cz.46099 > ns-kolejnet.upol.cz.domain: 13931+ PTR? 183.19.149.10.in-addr.arpa. (44)
19:23:28.073244 IP 191-96.kolejnet.upol.cz.35712 > ns-kolejnet.upol.cz.domain: 41569+ PTR? 61.191.194.158.in-addr.arpa. (45)
19:23:28.073781 IP 191-96.kolejnet.upol.cz.48720 > ns-kolejnet.upol.cz.domain: 52879+ PTR? 176.19.148.10.in-addr.arpa. (44)
19:23:28.079928 IP 191-96.kolejnet.upol.cz.52125 > ns-kolejnet.upol.cz.domain: 6830+ PTR? 184.19.149.10.in-addr.arpa. (44)
19:23:28.086286 IP 191-96.kolejnet.upol.cz.44031 > ns-kolejnet.upol.cz.domain: 60270+ PTR? 177.19.148.10.in-addr.arpa. (44)
19:23:28.092547 IP 191-96.kolejnet.upol.cz.54372 > ns-kolejnet.upol.cz.domain: 45029+ PTR? 178.19.148.10.in-addr.arpa. (44)
19:23:28.098935 ARP, Request who-has 10.148.20.0 tell 172.26.0.123, length 46
19:23:28.098945 IP 191-96.kolejnet.upol.cz.43122 > ns-kolejnet.upol.cz.domain: 62908+ PTR? 179.19.148.10.in-addr.arpa. (44)
19:23:28.099043 ARP, Request who-has 10.149.20.6 tell 172.26.0.123, length 46
19:23:28.104955 IP 191-96.kolejnet.upol.cz.50919 > ns-kolejnet.upol.cz.domain: 29931+ PTR? 185.19.149.10.in-addr.arpa. (44)
19:23:28.111065 IP 191-96.kolejnet.upol.cz.56568 > ns-kolejnet.upol.cz.domain: 12552+ PTR? 180.19.148.10.in-addr.arpa. (44)
19:23:28.117992 IP 191-96.kolejnet.upol.cz.44045 > ns-kolejnet.upol.cz.domain: 26012+ PTR? 186.19.149.10.in-addr.arpa. (44)
19:23:28.124364 IP 191-96.kolejnet.upol.cz.57843 > ns-kolejnet.upol.cz.domain: 33157+ PTR? 187.19.149.10.in-addr.arpa. (44)
19:23:28.130677 IP 191-96.kolejnet.upol.cz.47407 > ns-kolejnet.upol.cz.domain: 35211+ PTR? 188.19.149.10.in-addr.arpa. (44)
19:23:28.136990 IP 191-96.kolejnet.upol.cz.43945 > ns-kolejnet.upol.cz.domain: 55581+ PTR? 181.19.148.10.in-addr.arpa. (44)
19:23:28.143236 IP 191-96.kolejnet.upol.cz.35857 > ns-kolejnet.upol.cz.domain: 29784+ PTR? 189.19.149.10.in-addr.arpa. (44)
19:23:28.150349 IP 191-96.kolejnet.upol.cz.40483 > ns-kolejnet.upol.cz.domain: 62401+ PTR? 182.19.148.10.in-addr.arpa. (44)
19:23:28.156641 IP 191-96.kolejnet.upol.cz.38302 > ns-kolejnet.upol.cz.domain: 28779+ PTR? 190.19.149.10.in-addr.arpa. (44)
19:23:28.162950 IP 191-96.kolejnet.upol.cz.37160 > ns-kolejnet.upol.cz.domain: 20275+ PTR? 183.19.148.10.in-addr.arpa. (44)
19:23:28.169716 IP 191-96.kolejnet.upol.cz.51036 > ns-kolejnet.upol.cz.domain: 30532+ PTR? 184.19.148.10.in-addr.arpa. (44)
19:23:28.176334 IP 191-96.kolejnet.upol.cz.34585 > ns-kolejnet.upol.cz.domain: 55067+ PTR? 185.19.148.10.in-addr.arpa. (44)
19:23:28.182692 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.34585: 55067 NXDomain 0/1/0 (121)
19:23:28.182757 IP 191-96.kolejnet.upol.cz.57743 > ns-kolejnet.upol.cz.domain: 18919+ PTR? 191.19.149.10.in-addr.arpa. (44)
19:23:28.188849 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.57743: 18919 NXDomain 0/1/0 (121)
19:23:28.188918 IP 191-96.kolejnet.upol.cz.38796 > ns-kolejnet.upol.cz.domain: 591+ PTR? 186.19.148.10.in-addr.arpa. (44)
19:23:28.195133 IP 191-96.kolejnet.upol.cz.54637 > ns-kolejnet.upol.cz.domain: 63000+ PTR? 0.20.148.10.in-addr.arpa. (42)
19:23:28.201272 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.54637: 63000 NXDomain 0/1/0 (119)
19:23:28.201348 IP 191-96.kolejnet.upol.cz.59913 > ns-kolejnet.upol.cz.domain: 27458+ PTR? 6.20.149.10.in-addr.arpa. (42)
19:23:28.207258 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.59913: 27458 NXDomain 0/1/0 (119)
19:23:28.280285 ARP, Request who-has 189-15.kolejnet.upol.cz tell 191-92.kolejnet.upol.cz, length 46
19:23:28.298761 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.298834 IP 191-96.kolejnet.upol.cz.53864 > ns-kolejnet.upol.cz.domain: 23970+ PTR? 4.9.7.5.6.c.1.f.d.8.a.4.3.d.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa. (90)
19:23:28.299706 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.53864: 23970 NXDomain* 0/1/0 (125)
19:23:28.305309 IP6 fe80::2471:1928:5165:c4aa.1900 > ff02::c.1900: UDP, length 516
19:23:28.309656 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::1:ff77:b9c2: ICMP6, neighbor solicitation, who has fe80::8c6b:3047:b877:b9c2, length 32
19:23:28.309664 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::1:ff74:6e75: ICMP6, neighbor solicitation, who has fe80::3cbb:2f7e:374:6e75, length 32
19:23:28.309895 IP6 fe80::8c6b:3047:b877:b9c2 > ff02::1:ffc6:5794: ICMP6, neighbor solicitation, who has fe80::20d3:4a8d:f1c6:5794, length 32
19:23:28.310269 IP 191-96.kolejnet.upol.cz.52772 > ns-kolejnet.upol.cz.domain: 53626+ PTR? 4.9.7.5.6.c.f.f.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
19:23:28.311101 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::1:ff65:c4aa: ICMP6, neighbor solicitation, who has fe80::2471:1928:5165:c4aa, length 32
19:23:28.311241 ARP, Request who-has 158.194.188.1 tell 188-4.kolejnet.upol.cz, length 46
19:23:28.311335 IP6 fe80::2471:1928:5165:c4aa > ff02::1:ffc6:5794: ICMP6, neighbor solicitation, who has fe80::20d3:4a8d:f1c6:5794, length 32
19:23:28.312252 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.312725 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.320069 IP6 fe80::20d3:4a8d:f1c6:5794 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
19:23:28.321813 IP6 fe80::20d3:4a8d:f1c6:5794.52325 > ff02::1:3.hostmon: UDP, length 23
19:23:28.321969 IP 188-4.kolejnet.upol.cz.54342 > 224.0.0.252.hostmon: UDP, length 23
19:23:28.331983 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.52772: 53626 NXDomain 0/1/0 (160)
19:23:28.332064 IP 191-96.kolejnet.upol.cz.40123 > ns-kolejnet.upol.cz.domain: 56561+ PTR? 4.188.194.158.in-addr.arpa. (44)
19:23:28.332638 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.40123: 56561 2/1/1 CNAME 4.188.knet.194.158.in-addr.arpa., PTR 188-4.kolejnet.upol.cz. (147)
19:23:28.346644 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.353247 IP6 fe80::2471:1928:5165:c4aa.1900 > ff02::c.1900: UDP, length 498
19:23:28.387335 IP6 fe80::e44c:e5d0:1577:5996.58484 > ff02::c.1900: UDP, length 146
19:23:28.421656 IP6 fe80::20d3:4a8d:f1c6:5794.52325 > ff02::1:3.hostmon: UDP, length 23
19:23:28.421663 IP 188-4.kolejnet.upol.cz.54342 > 224.0.0.252.hostmon: UDP, length 23
19:23:28.432067 IP 189-234.kolejnet.upol.cz.10093 > 255.255.255.255.10093: UDP, length 46
19:23:28.454447 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.454695 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.454933 IP 188-4.kolejnet.upol.cz > igmp.mcast.net: igmp v3 report, 1 group record(s)
19:23:28.464931 IP6 fe80::d893:5570:3140:6e4a > ff02::1:fff5:189c: ICMP6, neighbor solicitation, who has fe80::192a:f0a6:2df5:189c, length 32
19:23:28.465274 IP6 fe80::192a:f0a6:2df5:189c > ff02::1:ff40:6e4a: ICMP6, neighbor solicitation, who has fe80::d893:5570:3140:6e4a, length 32
19:23:28.465285 IP 191-96.kolejnet.upol.cz.49270 > ns-kolejnet.upol.cz.domain: 42711+ PTR? c.9.8.1.5.f.f.f.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
19:23:28.486939 IP ns-kolejnet.upol.cz.domain > 191-96.kolejnet.upol.cz.49270: 42711 NXDomain 0/1/0 (160)
Tak jsou tam samé takovéhle pakety.. Na wiresharku (na ten jsem nějak zapomněl) vidím samé dotazy přes ARP.
Příliš moudrý z toho teda nejsem (akorát jsem se dočetl, že protokol ARP se používá pro detekci MAC adres).

[jmp]

a to jsou tusim broadcasty, takze Vas stroj to prijme coby paket, ale neni puvodcem provozu
takze je to prichozi provoz, ale rozhodne ne "stahovani"

btw ten 191-96.kolejnet.upol.cz je nejakej az moc zvedavej...
19:23:28.104955 IP 191-96.kolejnet.upol.cz.50919 > ns-kolejnet.upol.cz.domain: 29931+ PTR? 185.19.149.10.in-addr.arpa. (44)
19:23:28.111065 IP 191-96.kolejnet.upol.cz.56568 > ns-kolejnet.upol.cz.domain: 12552+ PTR? 180.19.148.10.in-addr.arpa. (44)
19:23:28.117992 IP 191-96.kolejnet.upol.cz.44045 > ns-kolejnet.upol.cz.domain: 26012+ PTR? 186.19.149.10.in-addr.arpa. (44)
19:23:28.124364 IP 191-96.kolejnet.upol.cz.57843 > ns-kolejnet.upol.cz.domain: 33157+ PTR? 187.19.149.10.in-addr.arpa. (44)
19:23:28.130677 IP 191-96.kolejnet.upol.cz.47407 > ns-kolejnet.upol.cz.domain: 35211+ PTR? 188.19.149.10.in-addr.arpa. (44)
19:23:28.136990 IP 191-96.kolejnet.upol.cz.43945 > ns-kolejnet.upol.cz.domain: 55581+ PTR? 181.19.148.10.in-addr.arpa. (44)
19:23:28.143236 IP 191-96.kolejnet.upol.cz.35857 > ns-kolejnet.upol.cz.domain: 29784+ PTR? 189.19.149.10.in-addr.arpa. (44)
19:23:28.150349 IP 191-96.kolejnet.upol.cz.40483 > ns-kolejnet.upol.cz.domain: 62401+ PTR? 182.19.148.10.in-addr.arpa. (44)
19:23:28.156641 IP 191-96.kolejnet.upol.cz.38302 > ns-kolejnet.upol.cz.domain: 28779+ PTR? 190.19.149.10.in-addr.arpa. (44)
19:23:28.162950 IP 191-96.kolejnet.upol.cz.37160 > ns-kolejnet.upol.cz.domain: 20275+ PTR? 183.19.148.10.in-addr.arpa. (44)
19:23:28.169716 IP 191-96.kolejnet.upol.cz.51036 > ns-kolejnet.upol.cz.domain: 30532+ PTR? 184.19.148.10.in-addr.arpa. (44)
19:23:28.176334 IP 191-96.kolejnet.upol.cz.34585 > ns-kolejnet.upol.cz.domain: 55067+ PTR? 185.19.148.10.in-addr.arpa. (44)

EDIT: resp. je otazka, jestli to neni pokus o DoS na DNS pro koleje... (dotaz na totez se opakuje v jedne desetine vteriny)

[Firzen]

A co ten 191-96.kolejnet.upol.cz teda vlastně dělá? Skenuje ip adresy? Zjišťuje MAC adresy? Nebo co se děje?
Jo a taky, mám se bát?

[jmp]

pokud jsem to spravne vyhodnotil, tak jde o dotazy na DNS na reverzni zonu, kdy to chce zpetnej preklad z IP adresy na jmeno, ale nemelo by to byt tak cetne (pri poptavani tehoz), protoze normalni stroje na to pouzivaji cache...

EDIT: pokud to neni pokus o DoS, pripadne neni z Vaseho stroje, tak se asi bat nemusite, ale pokud se DNSko slozi, tak nepujde preklad IP <-> Jmeno a to muze prinest potize
muzete zkusit pouzit dnsmasq, jako nameservery zkusit ty od google (8.8.8.8 a 8.8.4.4) a pokusit se o vlastni lokalni cache

[Firzen]

EDIT: Tak mi právě došlo, že 191-96.kolejnet.upol.cz je můj vlastní stroj!   Takže tedy, co teď? (hmm, všechna citlivá data jsem naštěstí nedávno zašifroval)

[beer]

EDIT: Tak mi právě došlo, že 191-96.kolejnet.upol.cz je můj vlastní stroj!   Takže tedy, co teď? (hmm, všechna citlivá data jsem naštěstí nedávno zašifroval)

A vida ho, hackera  ! Pokouší se shodit DNS na kolejích.

[Rover623]

Nějaký vtipálek se pokouší zahltit váš počítač hromadou zbytečných požadavků a získat tak přístup do systému, jenže mu jaksi nedochází, že tenhle způsob funguje pouze na Windows. Druhá možnost je, že váš stroj provozuje DNS a někdo se ji snaží shodit, pokud není v systému starý Apache (který tam defaultně není), platí pro oba stavy totéž, systém na všechno aplikuje reject

[Firzen]

Tak to mu - vzhledem k vykonu meho PC - preju mnoho stesti. :-D

[jAster_BA]

Tak podla pravidiel to nie je kóšer

Kód: [Vybrat]

5. Je zakázáno jakýmkoliv způsobem zkoušet obelstít monitorovací systém nebo se jakkoliv pokoušet narušit správný chod sítě.

6. Uživatel nesmí jakkoliv (ani nevědomě) bránit v užívání sítě ostatním uživatelům.

8. Každý uživatel je zodpovědný za svůj počítač a je povinen udržovat jej dostatečně zabezpečený a v takovém stavu, aby neohrožoval chod sítě nebo ostatních počítačů.

[jmp]

Tak to mu - vzhledem k vykonu meho PC - preju mnoho stesti. :-D

pokud je to Vas pocitac, tak je zdrojem/jste zdrojem - chtelo by to resit, proc je to tak, nez si toho vsimne spravce site a odpoji Vas...

[Firzen]

Tak to mu - vzhledem k vykonu meho PC - preju mnoho stesti. :-D

pokud je to Vas pocitac, tak je zdrojem/jste zdrojem - chtelo by to resit, proc je to tak, nez si toho vsimne spravce site a odpoji Vas...

Právě jsem provedl poslední a definitivní pokus. Vypnul jsem svůj PC, nainstaloval jsem wireshark na kamarádově notebooku a sledoval pakety; zároveň jsem sledoval zatížení sítě.
ARP requesty tam byly stále.
Pak jsem zapnul můj počítač a nic se nezměnilo. Z toho tedy lze soudit, že moje PC nic neodesílá.

PS: Přišlo mi divné, že když jsme poprvé zapojili switch k WAN, tak okamžitě začal zběsile blikat, jakoby tam už putovala nějaká data. Je to normální chování? Jsem fakt noob v sítích, takže moc nevím. Ale nezdálo se mi to. Switch bliká furt i když nikdo nic nestahuje a nebo když jsou počítače vypnuté či odpojené..

[jmp]

v rozsahlejsi siti, kde uz nejake ty pocitace bezi je normalni, ze tam nejake ty pakety putuji, aniz by uzivatele vyvijeli nejakou cinnost

to co mne prve zaujalo nebyly pakety v souvislosti s ARP, ale opakovane pakety v souvislosti s DNS...