Лента
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления. Общий
Городские форумы
Автофорумы
Халявный
Домоводство
Дачный. Основной.
Дачный. Объявления.
Цветочный форум
Деревенский форум
Форум владельцев кошек
Показать ещё
Проф. и бизнес форумы
Строительные форумы
Строительный форум (основной)
Форум электриков
Мебель
Окна
Форум строительных объявлений
Показать ещё
Технофорумы
Собачий форум
Велофорумы Нижнего Новгорода
Наши дети
Туризм, отдых, экстрим
Творческий
Путешествия
Спортивные форумы
Нижегородская область
Недвижимость
Форумы по интересам
Частные форумы
Форумы домов
Жилые районы
Отзывы и предложения (техподдержка)
ARP запросы на роутере
Саламан
29 ноября 2023
Если windows 10 в br-lan, то откуда берутся нули в usb0?
Что как выглядят арп запросы-ответы в вайршарке?
Что как выглядят арп запросы-ответы в вайршарке?
0
u
user_280313270
29 ноября 2023
Оттуда же и берутся - по-умолчанию линукс заполняет арп-таблицу из данных запроса, полученного на юбом интерфейсе. Соотв-но, на br-lan приходит запрос на 192.168.0.x и он попадает в таблицу для usb
0
Саламан
29 ноября 2023
Я к тому, что если арп флуд должен распространяться только на один интерфейс там где твой "поганец".
Остальные сети должны быть изолированы роутером.
У тебя картинка по обоим интерфейсам примерно одинаковая, т.е. если бы был арп флудер, то он бы жил только в одном броадкаст сегменте.
Если хочешь его найти - смотри арп трафик или счетчики на интерфейсах свича если там есть такая статистика.
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Остальные сети должны быть изолированы роутером.
У тебя картинка по обоим интерфейсам примерно одинаковая, т.е. если бы был арп флудер, то он бы жил только в одном броадкаст сегменте.
Если хочешь его найти - смотри арп трафик или счетчики на интерфейсах свича если там есть такая статистика.
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
0
u
user_280477733
29 ноября 2023
Саламан
писал(а)
Я к тому, что если арп флуд должен распространяться только на один интерфейс там где твой "поганец".
Arp-флуд так и распространяется. Но дело в том, что когда роутер получает arp-пакет на интерфейс br (а это может быть как arp-запрос, так и arp-ответ), он извлекает из пакета ip- и mac-адреса и заносит их в свой arp-кэш. Если ip-адрес, извлечённый из пакета, относится к сегменту, связанному с интерфейсом usb, то и в arp-кэше роутера запись тоже будет связана с этим интерфейсом (несмотря на то, что пакет был принят на интерфейсе br). Это такая особенность поведения старых версий ядра линукс (и не только линукс). И на этом основаны многочисленные атаки на переполнение/модификацию arp-таблицы.
Саламан
писал(а)
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Товарищ, вы это кому пишете? Тему завел другой человек )
0
Ацкий Бобер
29 ноября 2023
Конфигурация сети проста, как пять копеек.
Стоит роутер на OpenWRT, за ним стоит комп с Windows 10.
В первом посте привел часть ARP таблицу на роутере.
Интерфейс USB0 - это WAN USB модем с сетью 192.168.0.1/32,
192.168.1.1/32 - LAN.
На роутере с помощью tcpdump вижу ARP запросы, приходящие на не существующие адреса от
компа. На компе с помощью wireshark так же видны эти ARP запросы, идущие в сторону роутера.
При чем данные запросы идут не постоянно, а каким-то хаотическим образом.
На компе проводил сканирование на предмет вирусов и червей, но ничего криминального не нашел.
Вот я и хочу выяснить, кто генерит данный трафик и поэтому интересовался, как можно обнаружить процесс,
генерящий ARP запросы.
Спасибо за подсказку про CommView, буду пробовать.
Именно это я и хотел узнать.
Стоит роутер на OpenWRT, за ним стоит комп с Windows 10.
В первом посте привел часть ARP таблицу на роутере.
Интерфейс USB0 - это WAN USB модем с сетью 192.168.0.1/32,
192.168.1.1/32 - LAN.
На роутере с помощью tcpdump вижу ARP запросы, приходящие на не существующие адреса от
компа. На компе с помощью wireshark так же видны эти ARP запросы, идущие в сторону роутера.
При чем данные запросы идут не постоянно, а каким-то хаотическим образом.
На компе проводил сканирование на предмет вирусов и червей, но ничего криминального не нашел.
Вот я и хочу выяснить, кто генерит данный трафик и поэтому интересовался, как можно обнаружить процесс,
генерящий ARP запросы.
Спасибо за подсказку про CommView, буду пробовать.
Именно это я и хотел узнать.
0
u
user_280477733
30 ноября 2023
Ацкий Бобер
писал(а)
Спасибо за подсказку про CommView, буду пробовать.
черкни по результатам
0
Ацкий Бобер
3 декабря 2023
Поставил CommView, только не показывает он ID процесса на ARP пакетах.
Запустил ssh из консоли Windows на не существующий адрес 10.10.10.22.
В CommView нашел только ARP запросы с адресом 10.10.10.22, в которых нужной инфы нет.
Запустил ssh из консоли Windows на не существующий адрес 10.10.10.22.
В CommView нашел только ARP запросы с адресом 10.10.10.22, в которых нужной инфы нет.
0
Вы не можете отвечать в этой теме.
Вы не авторизованы на сайте. Авторизоваться или
зарегистрироваться на сайте.
Следующая тема
Предыдущая тема
Самые обсуждаемые
1018
