überflutet mit arp who_has anfragen

seHaas

hallo,

ich hab in den letzten 4 tagen ca 1gb incoming traffic, nur arp who_has anfragen. ist das normal für chello? in einem alten thread hab ich zwar von vielen anfragen gelesen, aber da wurde auch die datenmenge für ca ein monat ausgerechnet, was ich in 4 tagen habe.

eigentlich müsste es vom download-volumen ja egal sein, weils eh chello intern ist oder?

mfg seHaas

hal

Da spinnt offensichtlich ein Netzwerkgerät in deiner unmittelbaren Nachbarschaft, ich tät das mal Chello melden (falls du jemanden per Telefon findest, der weiß, was arp ist, oder ein Ethernet, oder dieses seltsame Computer-ding...).
Selbst wenns nicht zum Volumen zählt (was nicht gesagt ist), es kostet dich immer noch performance.

seHaas

naja hab da beim helpdesk angerufen, aber der war mit der flut meiner infos etwas überfordert er hat gmeint ich soll mich an die abuse stelle wenden.

bin grade dabei nochmal an dump zu machen. bzw kann man sagen dass die ipadresse die bei TELL steht der ursprung ist? weil die source vom package geht ist immer der chello-router für mein subnetz.

hal

Zitat von seHaas

bin grade dabei nochmal an dump zu machen. bzw kann man sagen dass die ipadresse die bei TELL steht der ursprung ist?

Wenn die Pakete kein Fake sind (d.h. dazu gebaut, jemandem die Leitung zuzumüllen), dann ja.

Zitat

weil die source vom package geht ist immer der chello-router für mein subnetz.

Evtl spinnt auch der Router deines Subnets, wer weiß das schon so genau... (die chello-Techniker sicher nicht ;))

seHaas

Zitat von hal

Wenn die Pakete kein Fake sind (d.h. dazu gebaut, jemandem die Leitung zuzumüllen), dann ja.

müssten aber dann eigentlich alle clients in meinem subnet das problem haben oder? das sind ja broadcast oder?

hal

ja, nur die meisten haben wohl keinen sniffer mitlaufen (ich zB habs nicht).

seHaas

mich hats halt gewundert dass die rx bytes beim ifconfig rasend schnell gestiegen sind. darum hab ich angefangen mal zu schaun was da los ist.
hab auf meinem router auch eine neue openwrt version aufgespielt, kann auch an dem liegen dass jetzt auf einmal das mitgezählt wird und vorher nicht?

daff

Hab jetzt auch mal tcpdump auf meiner Gateway-Kiste angeworfen und ich schätze, ich hab ein ähnliches Problem:

Code

14:28:45.001453 arp who-has 84.112.255.38 tell 84.112.255.1
14:28:45.050431 arp who-has chello080108120233.7.11.vie.surfer.at tell chello080108120001.7.11.vie.surfer.at
14:28:45.127996 arp who-has 84.112.255.190 tell 84.112.255.1
14:28:45.128537 arp who-has 10.178.20.76 tell 10.178.20.1
14:28:45.138797 arp who-has chello062178020074.7.11.vie.surfer.at tell chello062178020001.7.11.vie.surfer.at
14:28:45.144844 arp who-has chello062178020170.7.11.vie.surfer.at tell chello062178020001.7.11.vie.surfer.at
14:28:45.220256 arp who-has chello084112033131.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.246418 arp who-has chello062178019122.7.11.vie.surfer.at tell chello062178019001.7.11.vie.surfer.at
14:28:45.247925 arp who-has 84.112.0.127 tell 84.112.0.1
14:28:45.264423 arp who-has chello084112033149.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.302554 arp who-has 84.112.0.41 tell 84.112.0.1
14:28:45.316407 arp who-has chello080108087027.7.11.vie.surfer.at tell chello080108087001.7.11.vie.surfer.at
14:28:45.319410 arp who-has 84.112.0.60 tell 84.112.0.1
14:28:45.324606 arp who-has 84.112.0.34 tell 84.112.0.1
14:28:45.346719 arp who-has chello062178018229.7.11.wu-wien.teleweb.at tell chello062178018001.7.11.vie.surfer.at
14:28:45.347562 arp who-has chello062178018230.7.11.wu-wien.teleweb.at tell chello062178018001.7.11.vie.surfer.at
14:28:45.351895 arp who-has chello212186124238.7.11.wu-wien.teleweb.at tell chello212186124001.7.11.vie.surfer.at
14:28:45.358860 arp who-has chello084112033129.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.414292 arp who-has chello062178018191.7.11.univie.teleweb.at tell chello062178018001.7.11.vie.surfer.at
14:28:45.436394 arp who-has 84.112.0.80 tell 84.112.0.1
14:28:45.451981 arp who-has chello084112033204.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.501370 arp who-has chello080108046181.7.11.vie.surfer.at tell chello080108046001.7.11.vie.surfer.at
14:28:45.516959 arp who-has 84.112.0.202 tell 84.112.0.1
14:28:45.534718 arp who-has chello080108046079.7.11.vie.surfer.at tell chello080108046001.7.11.vie.surfer.at
14:28:45.562883 arp who-has 10.112.33.139 tell 10.112.33.1
14:28:45.565863 arp who-has 10.178.19.254 tell 10.178.19.1
14:28:45.585397 arp who-has chello080108046202.7.11.vie.surfer.at tell chello080108046001.7.11.vie.surfer.at
14:28:45.617869 arp who-has 84.112.255.167 tell 84.112.255.1
14:28:45.632601 arp who-has chello080108046041.7.11.vie.surfer.at tell chello080108046001.7.11.vie.surfer.at
14:28:45.710576 arp who-has 84.112.0.186 tell 84.112.0.1
14:28:45.724013 arp who-has chello080108087094.7.11.vie.surfer.at tell chello080108087001.7.11.vie.surfer.at
14:28:45.748219 arp who-has chello084112033054.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.754741 arp who-has chello080108120158.7.11.vie.surfer.at tell chello080108120001.7.11.vie.surfer.at
14:28:45.779873 arp who-has 10.178.20.224 tell 10.178.20.1
14:28:45.786761 arp who-has 10.108.46.223 tell 10.108.46.1
14:28:45.793294 arp who-has 84.112.0.72 tell 84.112.0.1
14:28:45.818527 arp who-has chello212186124139.7.11.univie.teleweb.at tell chello212186124001.7.11.vie.surfer.at
14:28:45.823616 arp who-has chello062178019122.7.11.vie.surfer.at tell chello062178019001.7.11.vie.surfer.at
14:28:45.831408 arp who-has chello084112033242.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.835740 arp who-has 84.112.0.210 tell 84.112.0.1
14:28:45.842678 arp who-has chello080108120043.7.11.vie.surfer.at tell chello080108120001.7.11.vie.surfer.at
14:28:45.864762 arp who-has chello062178018244.7.11.wu-wien.teleweb.at tell chello062178018001.7.11.vie.surfer.at
14:28:45.879932 arp who-has chello062178020072.7.11.vie.surfer.at tell chello062178020001.7.11.vie.surfer.at
14:28:45.900732 arp who-has chello080108087229.7.11.vie.surfer.at tell chello080108087001.7.11.vie.surfer.at
14:28:45.914149 arp who-has chello062178019209.7.11.vie.surfer.at tell chello062178019001.7.11.vie.surfer.at
14:28:45.923244 arp who-has chello084112033154.7.11.vie.surfer.at tell chello084112033001.7.11.vie.surfer.at
14:28:45.934521 arp who-has 84.112.255.111 tell 84.112.255.1
14:28:45.936668 arp who-has chello062178018007.7.11.vie.surfer.at tell chello062178018001.7.11.vie.surfer.at
14:28:45.953131 arp who-has 84.112.255.155 tell 84.112.255.1
14:28:45.954423 arp who-has chello080108120244.7.11.vie.surfer.at tell chello080108120001.7.11.vie.surfer.at
14:28:45.980859 arp who-has 84.112.255.166 tell 84.112.255.1
14:28:45.983487 arp who-has 84.112.255.50 tell 84.112.255.1
14:28:45.983733 arp who-has 84.112.255.158 tell 84.112.255.1
14:28:45.996877 arp who-has chello080108087119.7.11.vie.surfer.at tell chello080108087001.7.11.vie.surfer.at

Alles anzeigen

Glaub nicht, dass das allzu normal ist. Muss wohl auch nicht viel bedeuten, dass die tell-Adresse immer irgendein Gateway/Router ist? Vor allem, wenn das jemand absichtlich macht.

Nur was kann man dagegen tun? Einen Nachmittag mit einem Chello-Helpdesk-Praktikanten am Telefon tu ich mir sicher nicht an, vor allem, weils ja eh nix nutzt, wie du schon geschrieben hast

hal

ja stimmt, ich seh das gleiche hier... wenn man tcpdump mit -n aufruft, sieht man erst die richtigen massen an daten, die da ankommen (vorher wird das ganze durch tonnen an DNS lookups ausgebremst)

Ich denk da sind wirklich die Router schuld (weils ja kein Einzelfall ist), die chello-Techniker haben da irgendwas verbockt und jetzt fließen an jeden chello-user Gigabyte an sinnlosen Daten...

daff

Ein weiterer Grund, auf Inode umzusteigen, und sich die zusätzlichen EUR 10,- für das Upgrade auf einen Unlimited-Tarif zu leisten?

seHaas

naja, dann wirds auch nicht viel sinn haben das weiter zu verfolgen!
der chello-typ hat gleich mal gefragt ob ich filesharing tools betreibe, durch dass könnte das auch kommen, was ich aber stark bezweifle
das wird warscheinlich ihre taktik sein um kunden abzuwimmeln, die dann a schlechtes gewissen bekommen

hal

Lt. einem bestimmten lebenden, aluminumhaltigen Flüssigkeitsbehälter ist arp-flooding normal bei chello, und abhängig von der Anzahl der nodes in der Umgebung.

fren

same here ... sieht wild aus bei tcpdump -n

gelbasack

Wieviel is' denn genau? Bei Kabsi hab' ich ca. 2 Requests pro Sekunde...

Edit: Naja, jetzt hat der Timestamp meist 10 mal hintereinander die selbe Sekunde stehen...

fren

sind ca. 7-10 pro sekunde

Jensi

Ist schon länger her (> 1,5 Jahre), daß ich Chello gehabt habe, aber ich kann mich gut erinnern, daß man am externen Interface immer unglaubliche Mengen von ARP-Verkehr gesehen hat. Das dürfte auch der Grund dafür sein, daß das Traffic-LED am Modem immer flackert, ob man selber Traffic erzeugt oder nicht.

[EDIT:] Hab grad bei einem Chello-Rechner, auf dem ich root-Rechte habe, nachgeschaut - ca. 10 ARP-Pakete pro Sekunde. Ich bilde mir ein, daß das immer schon so war. [/EDIT]

überflutet mit arp who_has anfragen

Jetzt mitmachen!

Benutzer online in diesem Thema