Saya telah diminta untuk memperbaiki komputer anggota keluarga dari jarak jauh yang menjalankan "lambat". Saya sudah meminta mereka menjalankan sejumlah scan S&D dan AVG, bahkan dalam mode aman, tetapi mereka tidak menemukan hal yang menarik. Dalam menggunakan Remote Assistance untuk mencari-cari, saya menginstal Wireshark dan menemukan bahwa kotak tersebut mengeluarkan hingga 20 permintaan ARP per detik, sebagian besar untuk subnet lokalnya (terhubung langsung ke modem kabel USB WebSTAR 2000) seperti terlihat pada grafik di bawah ini.
Alamat IP pada saat itu adalah 70.119.184.xx / 255.255.240.0. Gateway default adalah 70.119.176.1 dan server DHCP 10.212.0.1.
Mungkinkah ini traffic yang sah, atau ini gejala worm seperti WootBot yang mencoba menyebar?
EDIT: Saya pikir mesin terinfeksi dengan Trojan.Opachki atau sesuatu yang sangat menyukainya.
EDIT: Lalu lintas ARP sebenarnya bersumber di tempat lain sehingga tidak ada masalah dengan mesin yang dimaksud. Ada tanda-tanda infeksi Opachki tetapi saya pikir itu sudah beres. Saya akan meletakkannya untuk router Natal berikutnya.
sumber
Jawaban:
Bukan untuk menjadi pihak yang menyiksa, tetapi ukuran subnet tidak relevan dengan jumlah siaran ARP per detik. Hanya karena sebuah subnet cukup besar untuk x jumlah host tidak berarti bahwa sebuah host akan ARP untuk x jumlah alamat ip dalam subnet itu. Host mengirim paket ARP ketika perlu mengirim paket ke host lain. Satu-satunya waktu host akan ARP untuk x jumlah alamat ip di subnet itu (atau sejumlah besar alamat ip di subnet itu) adalah jika itu memindai kisaran alamat ip untuk subnet itu (menggunakan program pemindaian IP), itu terinfeksi dengan malware, atau memiliki driver NIC atau NIC yang rusak. Tidak ada waktu lain host biasanya mengirim sejumlah besar paket ARP seperti apa yang Anda lihat. Selain itu host tidak akan mengirim paket ARP untuk alamat ip yang tidak ada di dalamnya '
Anda memiliki 5 host yang mengirim paket ARP di jaringan:
10.212.0.1 - Ini sepertinya normal. Ini adalah gateway default dan hanya ada satu paket ARP di tangkapan layar Anda. Gateway default akan mengirimkan paket ARP ke jaringan ketika harus meneruskan lalu lintas ke host internal dan alamat MAC host itu tidak ada dalam cache ARP (seperti yang dilakukan perangkat jaringan lainnya).
24.170.135.1 - Saya tidak mengerti yang ini. Ini adalah alamat ip non-lokal. Dari mana asalnya? Apakah Anda memiliki beberapa jaringan yang dijembatani bersama? Apakah ada komputer yang memiliki beberapa NIC yang terhubung ke beberapa jaringan atau beberapa koneksi, seperti koneksi VPN, dll.
24.233.137.1 - Sekali lagi, ini adalah alamat ip non-lokal.
70.119.248.1 - Ini mungkin normal, meskipun alamat ip ARP'ing tampaknya sedikit tidak pada tempatnya. Mereka berada di subnet yang sama tetapi jauh terpisah dari apa yang saya anggap skema pengalamatan ip normal.
70.119.176.1 - Ini adalah yang membuat saya khawatir karena itu yang mengirim sebagian besar paket ARP. Saya menduga bahwa ini sedang melakukan pemindaian subnet untuk semua alamat ip di subnet, terinfeksi dengan malware, atau memiliki driver NIC atau NIC yang buruk.
Banjir ARP (yang saya yakin Anda hadapi) bukanlah kondisi normal di jaringan. Siaran ARP melebihi sekitar 3 -5% dari semua lalu lintas jaringan merupakan indikasi yang sangat baik bahwa ada sesuatu yang salah.
EDIT
Setelah membaca kembali pertanyaan Anda dengan pengeditan terakhir, saya memiliki pendapat berbeda tentang apa yang terjadi: jika 70.119.176.1 adalah gateway default untuk jaringan, dan itu adalah yang mengirim sebagian besar permintaan ARP untuk alamat di subnet, maka saya berpikir bahwa seseorang di luar Anda sedang melakukan pemindaian alamat ip terhadap jaringan Anda dan firewall Anda tidak memblokirnya. Untuk setiap alamat ip yang diperiksa, gateway default Anda mengirimkan permintaan ARP untuk mencoba dan menemukan host pada alamat ip yang sedang diperiksa. Apakah firewall, router, atau modem Anda memiliki log yang dapat Anda lihat?
Saya masih tidak mengerti dari mana alamat 24.xxx berasal.
sumber
Nah dengan komputer terhubung langsung ke modem kabel Anda akan mendapatkan banyak kebisingan latar belakang. Terutama pada domain broadcast yang merupakan / 20 yang dapat mendukung sekitar 4,1k host. Saya tidak terbiasa dengan modem ini, apakah USB satu-satunya pilihan untuk menghubungkan ini ke host / jaringan lokal?
Saya selalu menyarankan Anda menempatkan router di antara jaringan Anda dan koneksi broadband. Bahkan jika jaringan terdiri dari satu komputer. NAT akan menghentikan lalu lintas yang tidak diminta yang secara efektif akan berfungsi sebagai firewall yang menjaga agar worm tidak dapat memperoleh akses langsung ke komputer. Ini sangat penting ketika Anda berbicara tentang PC Windows.
sumber
20 ARP Per detik tentu dalam kisaran kebisingan latar belakang normal untuk subnet / 20. Saya terkejut itu tidak lebih tinggi. Secara umum permintaan ARP tidak dengan sendirinya tanda cacing yang mencoba menyebar. Anda tahu hanya cukup untuk menjadi rumah berbahaya tetapi belum cukup untuk tahu bagaimana melihat lalu lintas jaringan. Terus lakukan itu dan terus ajukan pertanyaan Anda akan mendapatkan wawasan untuk menggunakan alat kit Anda secara nyata.
sumber