Авто
Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
ARP запросы на роутере
Нужен совет (поиск решения проблемы. не для купли-продажи)
3620
34
Поделиться
На роутере обнаружил кучу ARP who-has запросов от компьютера на windows 10 на различные, не существующие ip адреса.
Соответственно ARP таблица на рутере заполнена хламом:
192.168.1.58 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.133 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.0.103 0x1 0x0 00:00:00:00:00:00 * usb0
192.168.1.7 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.66 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.3 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.0.111 0x1 0x0 00:00:00:00:00:00 * usb0
192.168.1.15 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.74 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.0.52 0x1 0x0 00:00:00:00:00:00 * usb0
192.168.1.149 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.86 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.145 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.19 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.220 0x1 0x0 00:00:00:00:00:00 * br-lan
Комп просканировал различными антивирусами, сканерами, но так и ничего не обнаружил. Грузился с флешки и сканировал - но толку ноль.
Как вычислить поганца, которой сканирует сеть ARP запросами ?
Соответственно ARP таблица на рутере заполнена хламом:
192.168.1.58 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.133 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.0.103 0x1 0x0 00:00:00:00:00:00 * usb0
192.168.1.7 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.66 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.3 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.0.111 0x1 0x0 00:00:00:00:00:00 * usb0
192.168.1.15 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.74 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.0.52 0x1 0x0 00:00:00:00:00:00 * usb0
192.168.1.149 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.86 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.145 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.19 0x1 0x0 00:00:00:00:00:00 * br-lan
192.168.1.220 0x1 0x0 00:00:00:00:00:00 * br-lan
Комп просканировал различными антивирусами, сканерами, но так и ничего не обнаружил. Грузился с флешки и сканировал - но толку ноль.
Как вычислить поганца, которой сканирует сеть ARP запросами ?
Ацкий Бобер писал(а)
ARP запроса
ARP запроса
Может, у техподдержки провайдера спросить?
Причем тут провайдер ?
ARP запросы шлет мой локальный компьютер, который подключен к роутеру.
Я пытаюсь найти программу/вирус, которая генерит этот ARP траффик.
ARP запросы шлет мой локальный компьютер, который подключен к роутеру.
Я пытаюсь найти программу/вирус, которая генерит этот ARP траффик.
Ставьте на комп Wireshark и смотрите в нём трафик.
Стоит уже.
Вот только как с помощью него найти программу, которая данный ARP трафик генерит ?
Вот только как с помощью него найти программу, которая данный ARP трафик генерит ?
фильтрами
Не нашел как в Wireshark отобразить программу/процесс, которая отправила определенный пакет.
Поиски в интернете говорят, что средствами Wireshark подобное сделать не возможно.
Поиски в интернете говорят, что средствами Wireshark подобное сделать не возможно.
Wireshark смотрит в сетевой интерфейс.
И программы обычно не работают с протоколом arp, это работает на более низком уровне.
Поэтому найти программу, благодаря действиям которой был сгенерирован arp-пакет, можно только настроив фильтры в wireshark (чтобы не отвлекаться на остальные пакеты), а далее включать голову и искать причинно-следственные связи.
В arp-запросе есть поле SRC. В нём - mac-адрес сетевого адаптера, который сгенерировал этот запрос. Посмотрите - это mac компа или другого устройства?
(Arp-ответов, я так понимаю, в сети не будет).
Есть sender ip address - тоже ведь может помочь?
Кстати, в настройках самого роутера случайно не настроен какой-нибудь проброс портов на эти ip-адреса? Если да - то это он и пытается их обнаружить, генерируя arp-запросы.
И программы обычно не работают с протоколом arp, это работает на более низком уровне.
Поэтому найти программу, благодаря действиям которой был сгенерирован arp-пакет, можно только настроив фильтры в wireshark (чтобы не отвлекаться на остальные пакеты), а далее включать голову и искать причинно-следственные связи.
В arp-запросе есть поле SRC. В нём - mac-адрес сетевого адаптера, который сгенерировал этот запрос. Посмотрите - это mac компа или другого устройства?
(Arp-ответов, я так понимаю, в сети не будет).
Есть sender ip address - тоже ведь может помочь?
Кстати, в настройках самого роутера случайно не настроен какой-нибудь проброс портов на эти ip-адреса? Если да - то это он и пытается их обнаружить, генерируя arp-запросы.
ARP запросы приходят именно с именно с сетевой карточки компьютера. Роутер не генерит данные запросы, смотрел tcpdump - ом на роутере.
Ацкий Бобер
писал(а)
Вот только как с помощью него найти программу, которая данный ARP трафик генерит ?
Вайршарк это не умеет. Ставь CommView, он покажет process id который шлёт арпы.
Ну найдёшь какой-нибудь svchost стандартный виндовый, который генерит трафик. Полегчает?
Похоже придется забить на эти запросы, трафика они не создают, работе компа и роутера не мешают.
Просто интересно стало какая "сволочь" сеть сканит :)
Обнаружил чисто случайно месяца четыре назад и вот периодически пытаюсь найти.
Просто интересно стало какая "сволочь" сеть сканит :)
Обнаружил чисто случайно месяца четыре назад и вот периодически пытаюсь найти.
997
писал(а)
Ну найдёшь какой-нибудь svchost стандартный виндовый, который генерит трафик.
Да, полегчает. Свцхост сам трафик не генерит, это хост-процесс, который подгружает нужную длл. Значит, зловред запускается как служба, остается её отключить и удалить её библиотеки.
похоже какой то комп ищет устройства в сети и/или пытается доустановить какое-то устройство, ещё может ищет обновления в локальной сети ...
Насчет поиска обновлений в локальной сети сам тоже думал, нужно будет попробовать данный пункт отключить в винде.
Обновления тут не при чём от слова "ну просто ваааааще".
Попробуй с помощью программы CrowdInspect
Не покажет ничего. Равно как и tcpview.
Похоже, у вас завёлся arp-флудер.
1) Уточните, что вы правильно вычислили хост, от которого идут запросы. Сниффером уточните MAC-адрес машины, от которой исходят запросы. Это можно сделать WireShark, но я лично рекомендую CommView
2) по маку найдете физический хост. Вы пишете, что уже нашли его и провели проверку, но ничего не нашли. Поэтому я для чистоты эксперимента предлагаю уточнить. Запустите сниффер на "подозреваемом" хосте и убедитесь, что арп-запросы идут именно с него. Возможно, у вас в сети несколько флудеров.
Что бы вычислить процесс, запускаете на хосте CommView, настраиваете фильтр исходящих пакетов так, что бы туда попадали только исходящие арпы, он покажет вам ID процесса, который их отправляет. С помощью Sysinternals найдёте процесс, утилита покажет его сетевую активность, путь запуска и т.д.
1) Уточните, что вы правильно вычислили хост, от которого идут запросы. Сниффером уточните MAC-адрес машины, от которой исходят запросы. Это можно сделать WireShark, но я лично рекомендую CommView
2) по маку найдете физический хост. Вы пишете, что уже нашли его и провели проверку, но ничего не нашли. Поэтому я для чистоты эксперимента предлагаю уточнить. Запустите сниффер на "подозреваемом" хосте и убедитесь, что арп-запросы идут именно с него. Возможно, у вас в сети несколько флудеров.
Что бы вычислить процесс, запускаете на хосте CommView, настраиваете фильтр исходящих пакетов так, что бы туда попадали только исходящие арпы, он покажет вам ID процесса, который их отправляет. С помощью Sysinternals найдёте процесс, утилита покажет его сетевую активность, путь запуска и т.д.
Привет, ChatGPT! Мы тебя узнали.
Выпил? В инет не выходи!
Надо же, он и это знает...
Плохо, что ты не знаешь! Иди спать уже, задолбал
В нашем часовом поясе люди в это время ещё не спят.
P.S. Интересная тема, однако. Не думал, что прикрутят этот функционал так быстро к данному форуму.
P.S. Интересная тема, однако. Не думал, что прикрутят этот функционал так быстро к данному форуму.
Конфигурация сети проста, как пять копеек.
Стоит роутер на OpenWRT, за ним стоит комп с Windows 10.
В первом посте привел часть ARP таблицу на роутере.
Интерфейс USB0 - это WAN USB модем с сетью 192.168.0.1/32,
192.168.1.1/32 - LAN.
На роутере с помощью tcpdump вижу ARP запросы, приходящие на не существующие адреса от
компа. На компе с помощью wireshark так же видны эти ARP запросы, идущие в сторону роутера.
При чем данные запросы идут не постоянно, а каким-то хаотическим образом.
На компе проводил сканирование на предмет вирусов и червей, но ничего криминального не нашел.
Вот я и хочу выяснить, кто генерит данный трафик и поэтому интересовался, как можно обнаружить процесс,
генерящий ARP запросы.
Спасибо за подсказку про CommView, буду пробовать.
Именно это я и хотел узнать.
Стоит роутер на OpenWRT, за ним стоит комп с Windows 10.
В первом посте привел часть ARP таблицу на роутере.
Интерфейс USB0 - это WAN USB модем с сетью 192.168.0.1/32,
192.168.1.1/32 - LAN.
На роутере с помощью tcpdump вижу ARP запросы, приходящие на не существующие адреса от
компа. На компе с помощью wireshark так же видны эти ARP запросы, идущие в сторону роутера.
При чем данные запросы идут не постоянно, а каким-то хаотическим образом.
На компе проводил сканирование на предмет вирусов и червей, но ничего криминального не нашел.
Вот я и хочу выяснить, кто генерит данный трафик и поэтому интересовался, как можно обнаружить процесс,
генерящий ARP запросы.
Спасибо за подсказку про CommView, буду пробовать.
Именно это я и хотел узнать.
Ацкий Бобер
писал(а)
Спасибо за подсказку про CommView, буду пробовать.
черкни по результатам
Поставил CommView, только не показывает он ID процесса на ARP пакетах.
Запустил ssh из консоли Windows на не существующий адрес 10.10.10.22.
В CommView нашел только ARP запросы с адресом 10.10.10.22, в которых нужной инфы нет.
Запустил ssh из консоли Windows на не существующий адрес 10.10.10.22.
В CommView нашел только ARP запросы с адресом 10.10.10.22, в которых нужной инфы нет.
Принтскрин CommView к предыдущему посту.
Если windows 10 в br-lan, то откуда берутся нули в usb0?
Что как выглядят арп запросы-ответы в вайршарке?
Что как выглядят арп запросы-ответы в вайршарке?
Оттуда же и берутся - по-умолчанию линукс заполняет арп-таблицу из данных запроса, полученного на юбом интерфейсе. Соотв-но, на br-lan приходит запрос на 192.168.0.x и он попадает в таблицу для usb
Я к тому, что если арп флуд должен распространяться только на один интерфейс там где твой "поганец".
Остальные сети должны быть изолированы роутером.
У тебя картинка по обоим интерфейсам примерно одинаковая, т.е. если бы был арп флудер, то он бы жил только в одном броадкаст сегменте.
Если хочешь его найти - смотри арп трафик или счетчики на интерфейсах свича если там есть такая статистика.
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Остальные сети должны быть изолированы роутером.
У тебя картинка по обоим интерфейсам примерно одинаковая, т.е. если бы был арп флудер, то он бы жил только в одном броадкаст сегменте.
Если хочешь его найти - смотри арп трафик или счетчики на интерфейсах свича если там есть такая статистика.
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Саламан
писал(а)
Я к тому, что если арп флуд должен распространяться только на один интерфейс там где твой "поганец".
Arp-флуд так и распространяется. Но дело в том, что когда роутер получает arp-пакет на интерфейс br (а это может быть как arp-запрос, так и arp-ответ), он извлекает из пакета ip- и mac-адреса и заносит их в свой arp-кэш. Если ip-адрес, извлечённый из пакета, относится к сегменту, связанному с интерфейсом usb, то и в arp-кэше роутера запись тоже будет связана с этим интерфейсом (несмотря на то, что пакет был принят на интерфейсе br). Это такая особенность поведения старых версий ядра линукс (и не только линукс). И на этом основаны многочисленные атаки на переполнение/модификацию arp-таблицы.
Саламан
писал(а)
Или запускай апр-снифер и выключай порты по очереди пока не пропадет флуд
Товарищ, вы это кому пишете? Тему завел другой человек )
Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
Последние темы форумов
Форум
Тема (Автор)
Ответов
Карта сайта | 18+
ООО «Сеть городских порталов»
© 1999 - 2024
Реклама на NN.RU +7 (831) 261-37-60, reklama52@iportal.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@iportal.ru
Реклама на NN.RU +7 (831) 261-37-60, reklama52@iportal.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@iportal.ru
Т.к. вы неавторизованы на сайте. Войти.