AbcLinuxu:/ Poradna / Linuxová poradna / Neznamy provoz na pozadi

Štítky: bezpečnost, DNS, hardware, IDE, Intel, Internet, KDE, LAN, NAT, Nmap, programování, sítě, Windows

Dotaz: Neznamy provoz na pozadi

23.10.2006 22:58 mak
Neznamy provoz na pozadi

Přečteno: 86×

Odpovědět | Admin

Na pozadi mi vkuse bezi siet na 10-11KB (ukazuje mi to firestarter) a neviem co to je! Firestarter neukaze ziadne aktivne pripojenia, ale premavku ano. Tak som cez ethereal zistil, ze to vytazuje ARP protokol. Firestarter asi tuto vrstvu nemonitoruje. Ale co je najhorsie, nejde to nijako zastavit! Ani ked kompletne uzamknem firestarter, stale to bezi! Ethereal vravi, ze zdroj premavky je asustek. Ja ale asustek nemam, ale intel sietovku. Pri normalnej prevadzke (surfovanie) ide premavka cez intel adapter, cize moja sietovka intel je detekovana spravne.Ten asustek vysiela poziadavky na nezname ip adresy, vzdy inu. Menia sa rychlo. Co to vlastne moze byt? Co je asustek ak kam co vysiela? Ako to zastavit? Zastavi LEN vytiahnutie kabla :(

Nástroje: Začni sledovat (0) ?

Odpovědi

23.10.2006 23:01 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Kromě vytáhnutí síťového kabelu pomůže také shození toho rozhraní. :-) Než se budete snažit to zastavit, zjistite si raději nejdřív, k čemu vlastně protokol ARP slouží.

24.10.2006 13:18 matt2ss
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Viem na co sluzi ARP. Ale je normalne aby zo dna na den zacal spotrebovavat o 10 KB viac? A aby hladal kvantum neznamych adries (jasne okram brany, dns...) ktore predtym nehladal? Mimochodom to skoncilo (samo od seba, cez noc), preto je mi to este podozrivesjsie. Aj ked to pomizlo, pre mna to nekonci, musim vediet co to bolo.

24.10.2006 13:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Za prvé: 10 KB je v tomto kontextu naprosto nesmyslná hodnota (nesouhlasí vám jednotky), proto ji ignoruji. Za druhé: co očekáváte za smysluplnou radu, když ani nenapíšete, co je to za segment, tj. především zda sdílený nebo přepínaný, kolik je tam počítačů atd.?

24.10.2006 16:49 matt2ss
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Jednotky mi sedia. No vysvetlim to este raz. Prevadzka na sieti (celkova, neviem pomer upload/download) bola stale bez akejkolvek mojej cinnosti na pc 10 KB/s. Pozrel som sa, co natolko zatazuje siet a zistil som, ze na urovni arp medzi mojim pc a haldou ip adries ktore nepatria do lan behaju pakety. Doslovny vystup z etherealu: who has xx.xx.xx.xx? Tell "moja ip" Kde xxx je nejaka adresa neznama, striedali sa ich desiatky. Niekedy bola naopak vysialana poziadavka inou ip na moju.

24.10.2006 16:58 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

1. Teď už vám jednotky sedí - ale teprve v tomto příspěvku. Ve všech předchozích byly jednotky úplně nesmyslné.

2. Především absolutně netušíme, jak vlastně vypadá ten segment, kde se to děje. Navíc jste se ani neobtěžoval podívat, jestli ty ARP dotazy chodí z MAC adresy vaší karty nebo z nějaké jiné - pouze jste zmínil pár zmatených spekulací na téma Asustek vs. Intel. Vážně si myslíte, že z takto útržkovitých náznaků vám někdo vyprodukuje rozumnou odpověď?

24.10.2006 21:04 matt2ss
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Celkom na zaciatok dolezitu vec, co je struktura mojej siete. Moj provider tvori LAN siete s niekolko tisic zapojenymi pc, tie su cez jeden NAT pripojene do internetu.

Uznavam, ze tie uvahy asus/intel boli pomotane, ako som teraz aj zistil nezmyselne. O tom nizsie. Najprv na pochopenie sem davam rovno screenshot.

Ak som to spravne pochopil, tak jeden pc v sieti s adapterom asustek a mac adresou 00:17:31:d2:b9:bf vysiela poziadavky na celu siet (cielova mac ff:ff:ff:ff:ff:ff), pyta sa ma, ci mam taku, inokedy inu adresu. Mam pravdu? Toto zachytavanie na screenshote trvalo par sekund, z toho vypliva ze mnou prijatych paketov (na protokole ARP) bolo vela. Uvazujem spravne? Myslim ze tieto pakety prichadzajuce na moj pc zistujuce ci mam taku a taku adresu (stale inu) vytazuju siet. Aky dovod ma nejaky adapter v sieti vysielat taketo kvantum poziadaviek do celej siete okolo seba? PS:Ani jedna z tych adries na screenshote nieje moja.

24.10.2006 22:03 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Typujem, ze niekto pustil nieco ako nmap na celu siet :o)

24.10.2006 23:40 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

Skutečně to vypadá na nějaký plošný scan. Tedy za předpokladu, že vaše síť je 172.19.0.0/16 nebo něco podobného, pokud máte /24, pak to vypadá navíc na chybu v konfiguraci. ARP dotazy jsou ze své podstaty posílány jako broadcasty, na tom není nic divného ani špatného, podivné je jen jejich množství, ale to odpovídá snaze kontaktovat v krátkém čase velké množství různých adres.

Co se Asusteku týká, takhle ethereal identifikuje např. mou integrovanou Marvell 88E8001 (v jednom stroji prefix 00:11:2F, ve druhém 00:15:F2).

24.10.2006 23:54 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

nemate tam nekde v siti windows napadene tim ctvrtecnim wormem, jedny jsem "koupil" a take zahlcovaly sit spoustou arp dotazu

Urine should only be green if you're Mr. Spock.

25.10.2006 21:35 matt2ss
Rozbalit Rozbalit vše Re: Neznamy provoz na pozadi

No, je to celkom mozne, windowsov je tam vela. Neviete mi dat nejaky link na informacie o tom cervovi? Myslim ze by to mohlo byt ono.

Založit nové vlákno • Nahoru

Tiskni Sdílej: