Windows XP Home mengeluarkan sekitar 20 permintaan ARP per detik

2

Saya telah diminta untuk memperbaiki komputer anggota keluarga dari jarak jauh yang menjalankan "lambat". Saya sudah meminta mereka menjalankan sejumlah scan S&D dan AVG, bahkan dalam mode aman, tetapi mereka tidak menemukan hal yang menarik. Dalam menggunakan Remote Assistance untuk mencari-cari, saya menginstal Wireshark dan menemukan bahwa kotak tersebut mengeluarkan hingga 20 permintaan ARP per detik, sebagian besar untuk subnet lokalnya (terhubung langsung ke modem kabel USB WebSTAR 2000) seperti terlihat pada grafik di bawah ini.

Alamat IP pada saat itu adalah 70.119.184.xx / 255.255.240.0. Gateway default adalah 70.119.176.1 dan server DHCP 10.212.0.1.

Mungkinkah ini traffic yang sah, atau ini gejala worm seperti WootBot yang mencoba menyebar?

Penangkapan WireShark

EDIT: Saya pikir mesin terinfeksi dengan Trojan.Opachki atau sesuatu yang sangat menyukainya.

EDIT: Lalu lintas ARP sebenarnya bersumber di tempat lain sehingga tidak ada masalah dengan mesin yang dimaksud. Ada tanda-tanda infeksi Opachki tetapi saya pikir itu sudah beres. Saya akan meletakkannya untuk router Natal berikutnya.

windows-xp worm arp Donald Byrd
sumber
Bagi mereka yang memilih untuk pindah ke pengguna super, saya mempostingnya di sini karena saya ingin jawaban dari orang-orang yang memiliki pengetahuan tentang ARP. Saya tidak berpikir saya akan menemukan respon seperti itu pada superuser.
Donald Byrd
1
Bagaimana gateway Anda menjadi 10.212.0.1 jika jaringan Anda 70.119.184.xx? Mesin Anda harus memiliki rute statis ke gateway default, yang tidak masuk akal ... Apakah itu benar-benar pengaturannya? Jika demikian, IP apa pada jaringan 70.119.184.xx yang dilaluinya? Tampaknya lebih mungkin dari hirupan bahwa 70.119.176.1 adalah gateway default karena itu akan menjadi IP pertama yang tersedia di subnet 70.119.184.xx / 20 ...
Scott Lundberg
Maaf, 10.212.0.1 adalah server DHCP. Saya salah menilai :(
Donald Byrd

Jawaban:

4

Bukan untuk menjadi pihak yang menyiksa, tetapi ukuran subnet tidak relevan dengan jumlah siaran ARP per detik. Hanya karena sebuah subnet cukup besar untuk x jumlah host tidak berarti bahwa sebuah host akan ARP untuk x jumlah alamat ip dalam subnet itu. Host mengirim paket ARP ketika perlu mengirim paket ke host lain. Satu-satunya waktu host akan ARP untuk x jumlah alamat ip di subnet itu (atau sejumlah besar alamat ip di subnet itu) adalah jika itu memindai kisaran alamat ip untuk subnet itu (menggunakan program pemindaian IP), itu terinfeksi dengan malware, atau memiliki driver NIC atau NIC yang rusak. Tidak ada waktu lain host biasanya mengirim sejumlah besar paket ARP seperti apa yang Anda lihat. Selain itu host tidak akan mengirim paket ARP untuk alamat ip yang tidak ada di dalamnya '

Anda memiliki 5 host yang mengirim paket ARP di jaringan:

10.212.0.1 - Ini sepertinya normal. Ini adalah gateway default dan hanya ada satu paket ARP di tangkapan layar Anda. Gateway default akan mengirimkan paket ARP ke jaringan ketika harus meneruskan lalu lintas ke host internal dan alamat MAC host itu tidak ada dalam cache ARP (seperti yang dilakukan perangkat jaringan lainnya).

24.170.135.1 - Saya tidak mengerti yang ini. Ini adalah alamat ip non-lokal. Dari mana asalnya? Apakah Anda memiliki beberapa jaringan yang dijembatani bersama? Apakah ada komputer yang memiliki beberapa NIC yang terhubung ke beberapa jaringan atau beberapa koneksi, seperti koneksi VPN, dll.

24.233.137.1 - Sekali lagi, ini adalah alamat ip non-lokal.

70.119.248.1 - Ini mungkin normal, meskipun alamat ip ARP'ing tampaknya sedikit tidak pada tempatnya. Mereka berada di subnet yang sama tetapi jauh terpisah dari apa yang saya anggap skema pengalamatan ip normal.

70.119.176.1 - Ini adalah yang membuat saya khawatir karena itu yang mengirim sebagian besar paket ARP. Saya menduga bahwa ini sedang melakukan pemindaian subnet untuk semua alamat ip di subnet, terinfeksi dengan malware, atau memiliki driver NIC atau NIC yang buruk.

Banjir ARP (yang saya yakin Anda hadapi) bukanlah kondisi normal di jaringan. Siaran ARP melebihi sekitar 3 -5% dari semua lalu lintas jaringan merupakan indikasi yang sangat baik bahwa ada sesuatu yang salah.

EDIT

Setelah membaca kembali pertanyaan Anda dengan pengeditan terakhir, saya memiliki pendapat berbeda tentang apa yang terjadi: jika 70.119.176.1 adalah gateway default untuk jaringan, dan itu adalah yang mengirim sebagian besar permintaan ARP untuk alamat di subnet, maka saya berpikir bahwa seseorang di luar Anda sedang melakukan pemindaian alamat ip terhadap jaringan Anda dan firewall Anda tidak memblokirnya. Untuk setiap alamat ip yang diperiksa, gateway default Anda mengirimkan permintaan ARP untuk mencoba dan menemukan host pada alamat ip yang sedang diperiksa. Apakah firewall, router, atau modem Anda memiliki log yang dapat Anda lihat?

Saya masih tidak mengerti dari mana alamat 24.xxx berasal.

joeqwerty
sumber
Doh 10.212.0.1 default gateway adalah kesalahan ketik, yaitu server DHCP. Saya yakin itu memindai subnet lokal tetapi untuk alasan apa (saya tidak pernah melihat paket lain menindaklanjuti pemindaian) saya tidak tahu. Saya pikir itu mungkin terinfeksi dengan Trojan.Opachki. Terima kasih atas tanggapan Anda, ini membantu saya untuk mengetahui bahwa ini tidak normal.
Donald Byrd
Saya ragu bahwa server DHCP memindai jaringan. Kemungkinan besar itu mencoba menanggapi paket pembaruan sewa DHCP dari perangkat di 10.212.14.2.
+1 untuk hasil edit: Saya setuju. Router default sedang mencari node lain di jaringan untuk meresponsnya. Karena komputer anggota keluarga Anda ada di jaringan itu, Anda akan melihat permintaan arp, tetapi belum tentu balasan arp. Penangkap massa lainnya juga mungkin sejenis cacing. Namun karena tidak ada lalu lintas yang dihasilkan oleh komputer anggota keluarga Anda, saya akan memastikan bahwa pemindai virus dan / atau firewall mutakhir; kalau tidak saya tidak akan khawatir.
David Mackintosh
@ joeqwerty, Anda benar, saya seharusnya sudah memeriksa alamat MAC. Sumber paket ARP adalah gateway default, bukan milik mesin lokal.
Donald Byrd
0

Nah dengan komputer terhubung langsung ke modem kabel Anda akan mendapatkan banyak kebisingan latar belakang. Terutama pada domain broadcast yang merupakan / 20 yang dapat mendukung sekitar 4,1k host. Saya tidak terbiasa dengan modem ini, apakah USB satu-satunya pilihan untuk menghubungkan ini ke host / jaringan lokal?

Saya selalu menyarankan Anda menempatkan router di antara jaringan Anda dan koneksi broadband. Bahkan jika jaringan terdiri dari satu komputer. NAT akan menghentikan lalu lintas yang tidak diminta yang secara efektif akan berfungsi sebagai firewall yang menjaga agar worm tidak dapat memperoleh akses langsung ke komputer. Ini sangat penting ketika Anda berbicara tentang PC Windows.

Pengaruh 3d
sumber
Yang pasti saya tidak akan pernah mengaturnya seperti itu, tetapi itu di luar kendali saya.
Donald Byrd
-1

20 ARP Per detik tentu dalam kisaran kebisingan latar belakang normal untuk subnet / 20. Saya terkejut itu tidak lebih tinggi. Secara umum permintaan ARP tidak dengan sendirinya tanda cacing yang mencoba menyebar. Anda tahu hanya cukup untuk menjadi rumah berbahaya tetapi belum cukup untuk tahu bagaimana melihat lalu lintas jaringan. Terus lakukan itu dan terus ajukan pertanyaan Anda akan mendapatkan wawasan untuk menggunakan alat kit Anda secara nyata.


sumber
1
Betapa merendahkannya di sana @ Jo, terima kasih untuk itu. Anda yakin tahu bagaimana mendorong orang lain untuk bertanya. Melihat bagaimana Anda begitu berpengetahuan luas, dapatkah Anda menjelaskan mengapa mesin akan melakukan pencarian ARP untuk begitu banyak alamat ketika tidak mencoba mengaksesnya? Cache arp tidak mengandung entri untuk semua alamat ini.
Donald Byrd
@ Longle: Lihat jawaban saya untuk penjelasan.
Ukuran subnet tidak relevan dengan jumlah paket ARP yang dikirim ke jaringan. Selain itu, 20 paket ARP per detik mungkin tidak normal. Jika 20 paket ARP per detik lebih dari 3 -5% dari total lalu lintas jaringan, saya akan sedikit khawatir tentang hal itu.
@ joeqwerty: Saya tidak setuju bahwa ukuran subnet tidak relevan. Semakin banyak host di subnet lokal, semakin banyak arps yang akan Anda lihat. Ambil contoh ini, jika Anda menganggap setiap mesin mengirimkan 1 arp setiap 20 menit (periksa gateway default). Pada jaringan Kelas C yang terisi penuh, Anda akan melihat satu ARP setiap ~ 5 detik. Jalankan matematika itu untuk topeng 20 bit di OP, dan Anda berbicara 3 ARP setiap detik.
Scott Lundberg
@Scott Lundberg: Itulah kuncinya, jumlah host fisik aktual di subnet. Jika subnet saya memungkinkan untuk 4.096 host tetapi saya hanya memiliki enam host, maka ukuran subnet tidak relevan dengan jumlah lalu lintas ARP di jaringan saya. Subnet yang lebih besar memungkinkan untuk kemungkinan domain broadcast yang lebih besar tetapi sekali lagi, jika saya hanya memiliki beberapa host maka benar-benar tidak peduli seberapa besar subnet itu. Dalam kasus OP, saya akan ragu apakah ada lebih dari setengah lusin host di jaringan.