überflutet mit arp who_has anfragen

  • hallo,

    ich hab in den letzten 4 tagen ca 1gb incoming traffic, nur arp who_has anfragen. ist das normal für chello? in einem alten thread hab ich zwar von vielen anfragen gelesen, aber da wurde auch die datenmenge für ca ein monat ausgerechnet, was ich in 4 tagen habe.

    eigentlich müsste es vom download-volumen ja egal sein, weils eh chello intern ist oder?

    mfg seHaas

  • Da spinnt offensichtlich ein Netzwerkgerät in deiner unmittelbaren Nachbarschaft, ich tät das mal Chello melden (falls du jemanden per Telefon findest, der weiß, was arp ist, oder ein Ethernet, oder dieses seltsame Computer-ding...).
    Selbst wenns nicht zum Volumen zählt (was nicht gesagt ist), es kostet dich immer noch performance.

    [font=verdana,sans-serif]"An über-programmer is likely to be someone who stares quietly into space and then says 'Hmm. I think I've seen something like this before.'" -- John D. Cock[/font]

    opentu.net - freier, unzensierter Informationsaustausch via IRC-Channel!
    Hilfe und Support in Studienangelegenheiten, gemütliches Beisammensein, von und mit Leuten aus dem Informatik-Forum!

  • naja hab da beim helpdesk angerufen, aber der war mit der flut meiner infos etwas überfordert ;) er hat gmeint ich soll mich an die abuse stelle wenden.

    bin grade dabei nochmal an dump zu machen. bzw kann man sagen dass die ipadresse die bei TELL steht der ursprung ist? weil die source vom package geht ist immer der chello-router für mein subnetz.

  • Zitat von seHaas

    bin grade dabei nochmal an dump zu machen. bzw kann man sagen dass die ipadresse die bei TELL steht der ursprung ist?

    Wenn die Pakete kein Fake sind (d.h. dazu gebaut, jemandem die Leitung zuzumüllen), dann ja.

    Zitat

    weil die source vom package geht ist immer der chello-router für mein subnetz.

    Evtl spinnt auch der Router deines Subnets, wer weiß das schon so genau... (die chello-Techniker sicher nicht ;))

    [font=verdana,sans-serif]"An über-programmer is likely to be someone who stares quietly into space and then says 'Hmm. I think I've seen something like this before.'" -- John D. Cock[/font]

    opentu.net - freier, unzensierter Informationsaustausch via IRC-Channel!
    Hilfe und Support in Studienangelegenheiten, gemütliches Beisammensein, von und mit Leuten aus dem Informatik-Forum!

  • Zitat von hal

    Wenn die Pakete kein Fake sind (d.h. dazu gebaut, jemandem die Leitung zuzumüllen), dann ja.

    müssten aber dann eigentlich alle clients in meinem subnet das problem haben oder? das sind ja broadcast oder?

  • ja, nur die meisten haben wohl keinen sniffer mitlaufen (ich zB habs nicht).

    [font=verdana,sans-serif]"An über-programmer is likely to be someone who stares quietly into space and then says 'Hmm. I think I've seen something like this before.'" -- John D. Cock[/font]

    opentu.net - freier, unzensierter Informationsaustausch via IRC-Channel!
    Hilfe und Support in Studienangelegenheiten, gemütliches Beisammensein, von und mit Leuten aus dem Informatik-Forum!

  • mich hats halt gewundert dass die rx bytes beim ifconfig rasend schnell gestiegen sind. darum hab ich angefangen mal zu schaun was da los ist.
    hab auf meinem router auch eine neue openwrt version aufgespielt, kann auch an dem liegen dass jetzt auf einmal das mitgezählt wird und vorher nicht?

  • Hab jetzt auch mal tcpdump auf meiner Gateway-Kiste angeworfen und ich schätze, ich hab ein ähnliches Problem:


    Glaub nicht, dass das allzu normal ist. Muss wohl auch nicht viel bedeuten, dass die tell-Adresse immer irgendein Gateway/Router ist? Vor allem, wenn das jemand absichtlich macht.

    Nur was kann man dagegen tun? Einen Nachmittag mit einem Chello-Helpdesk-Praktikanten am Telefon tu ich mir sicher nicht an, vor allem, weils ja eh nix nutzt, wie du schon geschrieben hast :)

    Restrain the specimen!

  • ja stimmt, ich seh das gleiche hier... wenn man tcpdump mit -n aufruft, sieht man erst die richtigen massen an daten, die da ankommen (vorher wird das ganze durch tonnen an DNS lookups ausgebremst)

    Ich denk da sind wirklich die Router schuld (weils ja kein Einzelfall ist), die chello-Techniker haben da irgendwas verbockt und jetzt fließen an jeden chello-user Gigabyte an sinnlosen Daten...

    [font=verdana,sans-serif]"An über-programmer is likely to be someone who stares quietly into space and then says 'Hmm. I think I've seen something like this before.'" -- John D. Cock[/font]

    opentu.net - freier, unzensierter Informationsaustausch via IRC-Channel!
    Hilfe und Support in Studienangelegenheiten, gemütliches Beisammensein, von und mit Leuten aus dem Informatik-Forum!

  • naja, dann wirds auch nicht viel sinn haben das weiter zu verfolgen!
    der chello-typ hat gleich mal gefragt ob ich filesharing tools betreibe, durch dass könnte das auch kommen, was ich aber stark bezweifle ;)
    das wird warscheinlich ihre taktik sein um kunden abzuwimmeln, die dann a schlechtes gewissen bekommen ;)

  • Lt. einem bestimmten lebenden, aluminumhaltigen Flüssigkeitsbehälter ist arp-flooding normal bei chello, und abhängig von der Anzahl der nodes in der Umgebung.

    [font=verdana,sans-serif]"An über-programmer is likely to be someone who stares quietly into space and then says 'Hmm. I think I've seen something like this before.'" -- John D. Cock[/font]

    opentu.net - freier, unzensierter Informationsaustausch via IRC-Channel!
    Hilfe und Support in Studienangelegenheiten, gemütliches Beisammensein, von und mit Leuten aus dem Informatik-Forum!

  • Ist schon länger her (> 1,5 Jahre), daß ich Chello gehabt habe, aber ich kann mich gut erinnern, daß man am externen Interface immer unglaubliche Mengen von ARP-Verkehr gesehen hat. Das dürfte auch der Grund dafür sein, daß das Traffic-LED am Modem immer flackert, ob man selber Traffic erzeugt oder nicht.

    [EDIT:] Hab grad bei einem Chello-Rechner, auf dem ich root-Rechte habe, nachgeschaut - ca. 10 ARP-Pakete pro Sekunde. Ich bilde mir ein, daß das immer schon so war. [/EDIT]

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!