ARP запросы на роутере
Что как выглядят арп запросы-ответы в вайршарке?
Остальные сети должны быть изолированы роутером.
У тебя картинка по обоим интерфейсам примерно одинаковая, т.е. если бы был арп флудер, то он бы жил только в одном броадкаст сегменте.
Если хочешь его найти - смотри арп трафик или счетчики на интерфейсах свича если там есть такая статистика.
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Саламан
писал(а)
Я к тому, что если арп флуд должен распространяться только на один интерфейс там где твой "поганец".
Arp-флуд так и распространяется. Но дело в том, что когда роутер получает arp-пакет на интерфейс br (а это может быть как arp-запрос, так и arp-ответ), он извлекает из пакета ip- и mac-адреса и заносит их в свой arp-кэш. Если ip-адрес, извлечённый из пакета, относится к сегменту, связанному с интерфейсом usb, то и в arp-кэше роутера запись тоже будет связана с этим интерфейсом (несмотря на то, что пакет был принят на интерфейсе br). Это такая особенность поведения старых версий ядра линукс (и не только линукс). И на этом основаны многочисленные атаки на переполнение/модификацию arp-таблицы.
Саламан
писал(а)
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Товарищ, вы это кому пишете? Тему завел другой человек )
Стоит роутер на OpenWRT, за ним стоит комп с Windows 10.
В первом посте привел часть ARP таблицу на роутере.
Интерфейс USB0 - это WAN USB модем с сетью 192.168.0.1/32,
192.168.1.1/32 - LAN.
На роутере с помощью tcpdump вижу ARP запросы, приходящие на не существующие адреса от
компа. На компе с помощью wireshark так же видны эти ARP запросы, идущие в сторону роутера.
При чем данные запросы идут не постоянно, а каким-то хаотическим образом.
На компе проводил сканирование на предмет вирусов и червей, но ничего криминального не нашел.
Вот я и хочу выяснить, кто генерит данный трафик и поэтому интересовался, как можно обнаружить процесс,
генерящий ARP запросы.
Спасибо за подсказку про CommView, буду пробовать.
Именно это я и хотел узнать.
Ацкий Бобер
писал(а)
Спасибо за подсказку про CommView, буду пробовать.
черкни по результатам
Запустил ssh из консоли Windows на не существующий адрес 10.10.10.22.
В CommView нашел только ARP запросы с адресом 10.10.10.22, в которых нужной инфы нет.