Portál AbcLinuxu, 16. května 2024 07:22


Dotaz: ARP a UDP traffic na vnějším NET rozhraní

28.3.2020 14:44 mcm | skóre: 13 | blog: linca | domažlice
ARP a UDP traffic na vnějším NET rozhraní
Přečteno: 216×
Odpovědět | Admin
Příloha:
Ahoj, před pár dny se mi na serveru navýšil odchozí traffic v UDP multicast na 224.0.0.56:46360. Zároveň s tím se rapidně navýšil počet dotazů ARP na (zejména) subnet mého providera (UPC). Pro příklad přikládám výpis: 
# UDP
2020-03-28 09:33:15.077935 IP ip-MYIP.net.upcbroadband.cz.53524 > 224.0.0.56:46360 UDP, length 1292
atd.

# ARP
11:09:52.883915 ARP, Request who-has ip-MYIP.net.upcbroadband.cz tell ip-UPCIP01.net.upcbroadband.cz, length 46
11:09:52.888874 ARP, Request who-has ip-MYIP.net.upcbroadband.cz tell ip-UPCIP02.net.upcbroadband.cz, length 46
11:09:52.901430 ARP, Request who-has static-MYIP.net.upcbroadband.cz tell static-UPCIP03.net.upcbroadband.cz, length 46
11:09:52.909735 ARP, Request who-has static-MYIP.net.upcbroadband.cz tell static-UPCIP04.net.upcbroadband.cz, length 46
atd.

# IP
12:24:42.872540 IP dnsres1.nic.cz.domain > ip-MYIP.net.upcbroadband.cz.35134: 35641 1/2/1 PTR ip-UPCIP05.net.upcbroadband.cz. (145)
12:24:42.874994 IP ip-MYIP.net.upcbroadband.cz.40527 > dnsres1.nic.cz.domain: 8427+% [1au] PTR? UPCIP06.in-addr.arpa. (68)
12:24:42.885381 IP dnsres1.nic.cz.domain > ip-MYIP.net.upcbroadband.cz.40527: 8427 1/2/1 PTR ip-UPCIP07.net.upcbroadband.cz. (147)
12:24:42.886704 IP ip-MYIP.net.upcbroadband.cz.40747 > dnsres1.nic.cz.domain: 25882+% [1au] PTR? UPCIP08.in-addr.arpa. (68)
atd.
Za 5 sekund monitorování (tcpdump) bylo zachyceno 1940 paketů (po odfiltrování UDP a za odpojené vnitřní sítě, tedy téměř nulovém síťovém provozu). Traffic UDP multicastu činil cca 630 MiB/hod. Tento provoz jsem odfiltroval FW, ale ARP se mi filtrovat nechce, za jedno proto, že v tuto chvíli je multicast UDP na 224.0.0.56 odfiltrovaný a za druhé nechci zablokovat ARP jako takový. Nemáte někdo zkušenost nebo nápad, jak zjistit, co takovýhle traffic způsobuje? Nejsem schopen moc identifikovat místo (službu/proces), která by to mohla dělat. Dělá to na mě dojem, že jde o kompromitaci serveru. anebo možná konfigurace nějaké služby, ale nevim jaké. 
Fedora 30; Linux server 5.5.7-100.x86_64
Seznam běžících služeb v příloze.

V případě potřeby doplním další informace.

Za jakýkoli návrh, nasměrování, radu předem moc díky.. :)
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

28.3.2020 17:52 PetebLazar | skóre: 33 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: ARP a UDP traffic na vnějším NET rozhraní
Odpovědět | | Sbalit | Link | Blokovat | Admin
Teoreticky: Nemůže jít o PulseAudio rtp/udp flood?
To fix this problem, launch paprefs and disable "Multicast/RTP Sender".[14]
https://wiki.archlinux.org/index.php/PulseAudio/Troubleshooting#RTP/UDP_packet_flood

https://gitlab.freedesktop.org/pulseaudio/pulseaudio/issues/505
28.3.2020 20:48 mcm | skóre: 13 | blog: linca | domažlice
Rozbalit Rozbalit vše Re: ARP a UDP traffic na vnějším NET rozhraní
Na to jsem narazil taky, ale to jsem si ohlídal. Takže teoreticky by to pulseaudio dělat nemělo. Ale je to dost frekventovaný důvod přesně takového floodingu..

No, pro jistotu na to ještě mrknu.

Zatím díky :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.