ARP запросы на роутере
Ацкий Бобер писал(а)
ARP запроса
Может, у техподдержки провайдера спросить?
ARP запросы шлет мой локальный компьютер, который подключен к роутеру.
Я пытаюсь найти программу/вирус, которая генерит этот ARP траффик.
Вот только как с помощью него найти программу, которая данный ARP трафик генерит ?
Просто интересно стало какая "сволочь" сеть сканит :)
Обнаружил чисто случайно месяца четыре назад и вот периодически пытаюсь найти.
Поиски в интернете говорят, что средствами Wireshark подобное сделать не возможно.
И программы обычно не работают с протоколом arp, это работает на более низком уровне.
Поэтому найти программу, благодаря действиям которой был сгенерирован arp-пакет, можно только настроив фильтры в wireshark (чтобы не отвлекаться на остальные пакеты), а далее включать голову и искать причинно-следственные связи.
В arp-запросе есть поле SRC. В нём - mac-адрес сетевого адаптера, который сгенерировал этот запрос. Посмотрите - это mac компа или другого устройства?
(Arp-ответов, я так понимаю, в сети не будет).
Есть sender ip address - тоже ведь может помочь?
Кстати, в настройках самого роутера случайно не настроен какой-нибудь проброс портов на эти ip-адреса? Если да - то это он и пытается их обнаружить, генерируя arp-запросы.
1) Уточните, что вы правильно вычислили хост, от которого идут запросы. Сниффером уточните MAC-адрес машины, от которой исходят запросы. Это можно сделать WireShark, но я лично рекомендую CommView
2) по маку найдете физический хост. Вы пишете, что уже нашли его и провели проверку, но ничего не нашли. Поэтому я для чистоты эксперимента предлагаю уточнить. Запустите сниффер на "подозреваемом" хосте и убедитесь, что арп-запросы идут именно с него. Возможно, у вас в сети несколько флудеров.
Что бы вычислить процесс, запускаете на хосте CommView, настраиваете фильтр исходящих пакетов так, что бы туда попадали только исходящие арпы, он покажет вам ID процесса, который их отправляет. С помощью Sysinternals найдёте процесс, утилита покажет его сетевую активность, путь запуска и т.д.
Ацкий Бобер
писал(а)
Вот только как с помощью него найти программу, которая данный ARP трафик генерит ?
Вайршарк это не умеет. Ставь CommView, он покажет process id который шлёт арпы.
997
писал(а)
Ну найдёшь какой-нибудь svchost стандартный виндовый, который генерит трафик.
Да, полегчает. Свцхост сам трафик не генерит, это хост-процесс, который подгружает нужную длл. Значит, зловред запускается как служба, остается её отключить и удалить её библиотеки.