Получение большого количества пакетов ARP от модема (5000 / сек). Зачем?

246
sudo

У нас были случайные перебои с Интернетом дома, которые я пытался диагностировать. Примерно раз в неделю (случайным образом) он становится очень ненадежным на полдня. Около 9/10 пакетов отбрасывается, когда я проверяю связь с сервером, и проверяемые маршрутизаторы иногда не могут получить аренду DHCP на длительное время.

Это ненадежно прямо сейчас. Подключил мой ноутбук Ubuntu напрямую к модему и запустил tcpdump. Видел много пакетов ARP, поступающих от различных маршрутизаторов в подсети, и почти ничего. В некоторых случаях видел запрос DHCP от моего ноутбука без ответа. Некоторое время смотрел tcpdump каждую секунду. В секунду принимается около 5000 пакетов ARP . Это близко к нормальному?

Я подозреваю, что это связано со сбоем, а также с тем, что он выходит из строя одного из моих маршрутизаторов, так как я обычно не могу получить доступ к его странице веб-настройки, когда он подключен к модему. ИДК, что сказать поддержку интернет-провайдера. Сотрудники службы поддержки по телефону не знают, что такое «пакет», и проблема всегда уходит к тому времени, когда они могут отправить технического специалиста (хотя последний у технического специалиста даже не было порта Ethernet на своем компьютере для тестирования). ,

0
Похоже, что кто-то сканирует вашу сеть. Barmar 6 лет назад 0
@Barmar Вся сеть провайдера под маршрутизатором первого прыжка? Пакеты ARP говорят, что каждый раз отвечают на разные IP-адреса, и я не понимаю, зачем они это делают. Похоже, что тонны маршрутизаторов в сети выполняют DDoS для всех, но опять же это кажется бессмысленным. sudo 6 лет назад 0
Запросы ARP не приходят с IP-адреса маршрутизатора? Если это кабельный модем, на одном кабельном узле может быть несколько IP-подсетей, поэтому маршрутизатор будет иметь несколько IP-адресов и будет использовать соответствующую для каждого ARP. Barmar 6 лет назад 0
Похоже, что кто-то пытается DDOS вашего провайдера. Barmar 6 лет назад 0
@Barmar Они приходят с IP-адресов других маршрутизаторов в той же подсети, что и адрес, который я обычно получаю. Чтобы уточнить, я тестирую с моим ноутбуком, подключенным напрямую к модему, а не через мой собственный маршрутизатор. sudo 6 лет назад 0
Это говорит о том, что кто-то отправляет пакеты с поддельными исходными IP-адресами на эти маршрутизаторы, и они пытаются ответить на них, что требует от них первой отправки ARP-рассылок. В идеале у провайдера должен быть фильтр на головном узле, который блокирует такие пакеты. Но, возможно, угнанные компьютеры в вашей подсети используются для отправки начальных пакетов, такой фильтр на них не повлияет. Barmar 6 лет назад 0
Я действительно не знаю, что случилось в конце. Я перестал видеть пакет спама. Айтишник заменил наш модем. Внутренняя сеть также имела несвязанные проблемы из-за какого-либо другого устройства, идентифицирующего как маршрутизатор с адресом 192.168.1.1. Что за беспорядок sudo 6 лет назад 0

1 ответ на вопрос

1
davidgo

Можно только догадываться, почему это происходит. Мое то, что серверы радиуса провайдера (аутентификации) не работают должным образом.

Я ожидаю, что это нарушает DHCP (звучит как данность). Возможно, arp-трафик - это компьютеры, пытающиеся найти трафик для более широкого Интернета через интерфейс wan, поскольку шлюза нет. Это не правильно, но, вероятно, это побочный эффект проблем с провайдером и сбоев DHCP.

С тех пор он пояснил, что пакеты ARP, похоже, поступают от других пользовательских маршрутизаторов, а не от головного маршрутизатора. Не похоже на проблему радиуса. Barmar 6 лет назад 0

Похожие вопросы