Windows XP Home выдает около 20 ARP-запросов в секунду

2686
ongle

Меня попросили удаленно починить компьютер члена семьи, который работает «медленно». Я заставил их выполнить любое количество сканирований S & D и AVG, даже в безопасном режиме, но они не нашли ничего интересного. Используя удаленный помощник, я установил Wireshark и обнаружил, что устройство отправляет до 20 запросов ARP в секунду, в основном для своей локальной подсети (напрямую подключенной к кабельному USB-модему WebSTAR 2000), как показано на рисунке ниже.

IP-адрес на тот момент был 70.119.184.xx / 255.255.240.0. Шлюз по умолчанию был 70.119.176.1, а сервер DHCP - 10.212.0.1.

Возможно ли, что это законный трафик или это симптом червя, похожего на WootBot, пытающегося распространяться?

WireShark capture

РЕДАКТИРОВАТЬ: Я думаю, что машина заражена Trojan.Opachki или что-то очень нравится.

РЕДАКТИРОВАТЬ: трафик ARP на самом деле получены в другом месте, так что это не проблема с рассматриваемой машиной. Были признаки инфекции Опачки, но я думаю, что это прояснилось. Я положу его на роутер на следующее Рождество.

2
Для тех, кто голосовал за переход в суперпользователь, я разместил его здесь, потому что хотел получить ответы от людей, знающих о ARP. Я не думаю, что найду такой ответ на суперпользователя. ongle 14 лет назад 0
Как ваш шлюз может быть 10.212.0.1, если ваша сеть 70.119.184.xx? Ваша машина должна иметь статический маршрут к шлюзу по умолчанию, что не имеет особого смысла ... Это действительно так? Если да, через какой IP-адрес в сети 70.119.184.xx он направляется? Судя по всему, более вероятно, что 70.119.176.1 является шлюзом по умолчанию, так как это будет первый доступный IP в подсети 70.119.184.xx / 20 ... Scott Lundberg 14 лет назад 1
Извините, 10.212.0.1 является сервером DHCP. Я неправильно пропустил :( ongle 14 лет назад 0

3 ответа на вопрос

4
joeqwerty

Не должен быть участником вечеринки, но размер подсети не зависит от количества ARP-передач в секунду. Тот факт, что подсеть достаточно велика для x количества хостов, не означает, что хост будет ARP для x количества IP-адресов в этой подсети. Хост отправляет пакет ARP, когда ему нужно отправить пакет другому хосту. Единственный раз, когда хост выполняет ARP для x количества ip-адресов в своей подсети (или большого числа ip-адресов в своей подсети), это если он сканирует диапазон ip-адресов для своей подсети (используя программу сканирования IP), он заражен вредоносное ПО или имеет неисправный драйвер NIC или NIC. Никогда другой узел обычно не отправляет большое количество пакетов ARP, как то, что вы видите. Кроме того, хост не будет отправлять пакет ARP для IP-адреса, которого нет на нем.

У вас есть 5 хостов, отправляющих пакеты ARP в сети:

10.212.0.1 - Это кажется нормальным Это шлюз по умолчанию, и на вашем снимке экрана только один пакет ARP. Шлюз по умолчанию отправляет пакеты ARP в сеть, когда ему необходимо передать трафик на внутренний хост, а MAC-адрес этого хоста не находится в его кэше ARP (как любое другое сетевое устройство).

24.170.135.1 - Я этого не понимаю. Это нелокальный IP-адрес. Откуда это? У вас есть несколько сетей, соединенных вместе? У любого из компьютеров есть несколько сетевых адаптеров, подключенных к нескольким сетям, или несколько подключений, например, VPN-подключение и т. Д.

24.233.137.1 - Опять же, это нелокальный IP-адрес.

70.119.248.1 - Это, вероятно, нормально, хотя IP-адреса, для которых он работает, кажутся немного неуместными. Они находятся в одной подсети, но далеко от той, которую я бы назвал обычной схемой IP-адресации.

70.119.176.1 - Это тот, который беспокоит меня, так как он посылает большую часть пакетов ARP. Я подозреваю, что он либо выполняет сканирование подсети для всех IP-адресов в подсети, либо заражен вредоносным ПО, либо имеет плохой драйвер NIC или NIC.

Потоки ARP (с чем, я полагаю, вы имеете дело) не являются нормальным состоянием в сети. ARP-трансляции, превышающие примерно 3-5% всего сетевого трафика, являются очень хорошим показателем того, что что-то не так.

РЕДАКТИРОВАТЬ

Перечитав ваш вопрос с вашими недавними изменениями, у меня другое мнение о том, что происходит: если 70.119.176.1 является шлюзом по умолчанию для сети, и именно он отправляет большую часть ARP-запросов на адреса в подсети, тогда я думаю, что кто-то посторонний для вас выполняет проверку IP-адреса \ порта в вашей сети, и ваш брандмауэр не блокирует его. Для каждого проверяемого IP-адреса ваш шлюз по умолчанию отправляет запрос ARP, чтобы попытаться найти хост по проверяемому IP-адресу. У вашего брандмауэра, маршрутизатора или модема есть журнал, на который вы можете посмотреть?

Я до сих пор не понимаю, откуда приходят адреса 24.xxx.

Шлюз по умолчанию в Doh 10.212.0.1 был опечаткой, то есть сервером DHCP. Я уверен, что он сканирует локальную подсеть, но по какой причине (я не вижу других пакетов после сканирования), я не знаю. Я думаю, что это может быть заражено Trojan.Opachki. Спасибо за ваш отзыв, это помогло мне узнать, что это не нормально. ongle 14 лет назад 0
Я сомневаюсь, что DHCP-сервер сканирует сеть. Скорее всего, он пытается ответить на пакет обновления аренды DHCP от устройства в 10.212.14.2. 14 лет назад 0
+1 за редактирование: согласен. Маршрутизатор по умолчанию ищет другие узлы в сети, чтобы ответить на него. Поскольку компьютер члена вашей семьи находится в этой сети, вы увидите запросы arp, но не обязательно ответ arp. Другой массовый боец ​​тоже, вероятно, какой-то червь. Однако, поскольку ни один из трафика не генерируется компьютером члена вашей семьи, я бы позаботился о том, чтобы антивирусные сканеры и / или брандмауэры были обновлены; иначе я бы не волновался. David Mackintosh 14 лет назад 0
@joeqwerty, вы правы, я должен был проверить MAC-адреса. Источник пакетов ARP - это шлюз по умолчанию, а не локальный компьютер. ongle 14 лет назад 0
0
3dinfluence

Хорошо, если компьютер подключен напрямую к кабельному модему, вы получите много фонового шума. Особенно в широковещательном домене, который является / 20, который может поддерживать около 4.1k хостов. Я не знаком с этим модемом, является ли USB единственной возможностью подключить его к локальному хосту / сети?

Я всегда рекомендую вам установить маршрутизатор между вашей сетью и широкополосным соединением. Даже если сеть состоит из одного компьютера. NAT отбрасывает любой незапрошенный трафик, который эффективно работает как брандмауэр, не позволяющий червям получить прямой доступ к компьютеру. Это особенно важно, когда вы говорите о ПК с Windows.

Конечно, я бы никогда так не настроил, но это вне моего контроля. ongle 14 лет назад 0
-1

20 ARP в секунду, безусловно, находится в диапазоне нормального фонового шума для подсети / 20. Я удивлен, что это не выше. В общем, запросы ARP сами по себе не являются признаком червя, пытающегося распространиться. Вы знаете достаточно, чтобы быть опасным, но еще не знаете, как смотреть на сетевой трафик. Продолжайте в том же духе и продолжайте задавать вопросы, которые вы получите, чтобы реально использовать свой набор инструментов.

Как снисходительно там @Joe, спасибо за это. Вы точно знаете, как побуждать других задавать вопросы. Видя, насколько вы хорошо осведомлены, не могли бы вы объяснить, почему компьютер будет выполнять поиск ARP для такого количества адресов, когда он не пытается получить к ним доступ? Кэш arp не содержит записей ни для одного из этих адресов. ongle 14 лет назад 1
@ongle: Смотрите мой ответ для объяснения. 14 лет назад 0
Размер подсети не зависит от количества пакетов ARP, отправляемых в сеть. Кроме того, 20 пакетов ARP в секунду могут быть ненормальными. Если эти 20 пакетов ARP в секунду превышают 3-5% общего сетевого трафика, я бы немного беспокоился об этом. 14 лет назад 0
@joeqwerty: Я не согласен, что размер подсети не имеет значения. Чем больше хостов в локальной подсети, тем больше arps вы увидите. Возьмите этот пример, если вы предполагаете, что каждая машина отправляет 1 arp каждые 20 минут (проверьте шлюз по умолчанию). В полностью загруженной сети класса C вы будете видеть один ARP каждые ~ 5 секунд. Запустите эту математику для 20-битной маски в OP, и вы будете говорить 3 ARP каждую секунду. Scott Lundberg 14 лет назад 0
@ Скотт Лундберг: Это ключ, количество реальных, физических хостов в подсети. Если в моей подсети допускается 4096 хостов, но у меня только шесть хостов, то размер подсети не зависит от объема ARP-трафика в моей сети. Большая подсеть допускает возможность большего широковещательного домена, но, опять же, если у меня всего несколько хостов, тогда действительно не имеет значения, насколько велика подсеть. В случае с OP, я бы сомневался в том, что в сети более полутора десятков хостов. 14 лет назад 0
@Joeqwerty: Я вижу, откуда ты, но я бы сказал, что это не имеет значения. Scott Lundberg 14 лет назад 0
@ Скотт Лундберг: Хороший вопрос. Я должен был сказать, что это зависит от того, сколько реальных хостов находится в подсети, или что-то в этом роде. 14 лет назад 0

Похожие вопросы